4
Empfehlung Überwachungsrichtline
Hallo Kollegen,
innerhalb unseres Unternehmens ist eine Windows 2003 R2 Domäne mit 2 DC im Einsatz, und ca. 450 clients.
Situation
die Sicherheitsprotokollierung der DC weiß eine eingestellte Größe von 512 MB auf, was ja doch wenn ich von den gegoogelden Empfehlungen ausgehe recht groß ist. Mit dieser eingestellten Größe kann ich gerade 1 Tag nachvollziehen. Ich bezweifle jedoch das es sinnvoll ist die Protokollgröße für das Sicherheitsprotokoll noch größer zu machen.
1. Gibt es bei der Protokollgröße (Sicherheitsprotokoll) einen Wert den man nicht überschreiten sollte oder eine gute Empfehlung ?
2. Ist die im Bild dargestellte Überwachung für die Domänencontroller OK
innerhalb unseres Unternehmens ist eine Windows 2003 R2 Domäne mit 2 DC im Einsatz, und ca. 450 clients.
Situation
die Sicherheitsprotokollierung der DC weiß eine eingestellte Größe von 512 MB auf, was ja doch wenn ich von den gegoogelden Empfehlungen ausgehe recht groß ist. Mit dieser eingestellten Größe kann ich gerade 1 Tag nachvollziehen. Ich bezweifle jedoch das es sinnvoll ist die Protokollgröße für das Sicherheitsprotokoll noch größer zu machen.
1. Gibt es bei der Protokollgröße (Sicherheitsprotokoll) einen Wert den man nicht überschreiten sollte oder eine gute Empfehlung ?
2. Ist die im Bild dargestellte Überwachung für die Domänencontroller OK
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197590
Url: https://administrator.de/contentid/197590
Printed on: April 24, 2024 at 21:04 o'clock
4 Comments
Latest comment
Moin,
meiner Meinung nach kannst du die Überwachung von den meisten erfolgreichen Ereignissen dir schenken...
Ich würde sie einschalten falls es ein konkretes Problem gibt.
Gruß
meiner Meinung nach kannst du die Überwachung von den meisten erfolgreichen Ereignissen dir schenken...
Ich würde sie einschalten falls es ein konkretes Problem gibt.
Gruß
Hi
Die Datenflut wird "maßlos" groß sein, wir haben das mal Testweise für den Fileserver eingeschaltet und der produzierte für ein Tag rund 12Gb Logs - dafür benötigst dann Tools womit du die Daten validieren und auswerten kannst - und diese sind i.d.R. recht teuer (zum. wenn man was _einfaches_ haben möchte)
Die Datenflut wird "maßlos" groß sein, wir haben das mal Testweise für den Fileserver eingeschaltet und der produzierte für ein Tag rund 12Gb Logs - dafür benötigst dann Tools womit du die Daten validieren und auswerten kannst - und diese sind i.d.R. recht teuer (zum. wenn man was _einfaches_ haben möchte)
Moin.
Ist die im Bild dargestellte Überwachung für die Domänencontroller OK
Wir können nicht beantworten, was für Dich als OK gilt. Man hat schon Gründe, Dinge zu überwachen. Diese sind aber nicht bei allen gleich, hier kann kein sinnvoller, allgemeingültiger Tipp gegeben werden. Ich würde an Deiner Stelle analysieren, was die Logs so fett macht und ob diese Einträge etwas bringen (könnten) und dann evtl. abrüsten.
Hallo
Danke für euere Tipps. Ich bin jetzt einen ganz anderen Weg eingeschlagen und habe mit dem LogParser die Sicherheitslogs per regelmäßigen task in einen SQL Datenbank importiert. Diese importiert immer nur noch diese die noch nicht in der Datenbank vorhanden sind somit ist mir es dann egal wenn die logs nach einem Tag wieder am DC überschrieben werden da ich dann alle in der SQL DB habe.
Vielen Dank nochmals für euere Unterstützung
Martin
Danke für euere Tipps. Ich bin jetzt einen ganz anderen Weg eingeschlagen und habe mit dem LogParser die Sicherheitslogs per regelmäßigen task in einen SQL Datenbank importiert. Diese importiert immer nur noch diese die noch nicht in der Datenbank vorhanden sind somit ist mir es dann egal wenn die logs nach einem Tag wieder am DC überschrieben werden da ich dann alle in der SQL DB habe.
Vielen Dank nochmals für euere Unterstützung
Martin
