4
Frage zum Event Log
Ich suche eine Liste von Event IDs oder eine Kategorisierung von Event IDs in Listenform.
Mein Problem ist recht simpel aber irgendwie komme ich dabei nicht weiter.
Ich möchte eine Liste von Event IDs erstellen, die nach Vorgabe protokolliert werden müssen. Dazu gehören u.a. alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung. Soweit so gut. Ich kann zwar die DAtenbank abfragen beim Ereignisprotokoll, aber das nützt mir nicht wirklich etwas. Ich würde sozusagen die dahinter stehende Logik benötigen in der ich z.B. kategorisiere, dass die Event IDs (achtung nur Hausnummern, nicht relevant) 1000-1005, 28810, 28903 etc aufgezeichnet werden müssen.
Gibt es irgendwo eine Logik, oder Liste aus der ich ersehen könnte, welche Event ID was genau aufzeichnet ohne dass ich jeden einzelnen fall auflisten muss? Also was is ID 1, was is ID 2 bis eben zum Ende der IDs Nummern?
Vielen Dank im Voruas, bin für jede Hilfe dankbar.
Chris
Ich möchte eine Liste von Event IDs erstellen, die nach Vorgabe protokolliert werden müssen. Dazu gehören u.a. alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung. Soweit so gut. Ich kann zwar die DAtenbank abfragen beim Ereignisprotokoll, aber das nützt mir nicht wirklich etwas. Ich würde sozusagen die dahinter stehende Logik benötigen in der ich z.B. kategorisiere, dass die Event IDs (achtung nur Hausnummern, nicht relevant) 1000-1005, 28810, 28903 etc aufgezeichnet werden müssen.
Gibt es irgendwo eine Logik, oder Liste aus der ich ersehen könnte, welche Event ID was genau aufzeichnet ohne dass ich jeden einzelnen fall auflisten muss? Also was is ID 1, was is ID 2 bis eben zum Ende der IDs Nummern?
Vielen Dank im Voruas, bin für jede Hilfe dankbar.
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 137810
Url: https://administrator.de/contentid/137810
Printed on: April 26, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hi Chris.
Das klingt für mich erstmal noch ungeordnet - sag doch, was Du erreichen möchtest.
-wer will das wann auswerten und wie?
Was stellst Du Dir unter "alle Tätigkeiten" vor? Alles, also auch starte Outlook, lese Mail xy, öffne den Anhand, öffne den Browser, surfe zu Site xy, öffne dann Dokument xy, stelle dann die Schriftart im Dokument um, kopiere die Datei dann nach...?
Das klingt für mich erstmal noch ungeordnet - sag doch, was Du erreichen möchtest.
alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung
-was soll das bringen?-wer will das wann auswerten und wie?
Was stellst Du Dir unter "alle Tätigkeiten" vor? Alles, also auch starte Outlook, lese Mail xy, öffne den Anhand, öffne den Browser, surfe zu Site xy, öffne dann Dokument xy, stelle dann die Schriftart im Dokument um, kopiere die Datei dann nach...?
Ohne da jetzt weit auszuholen, es geht um das Thema Zertifizierung. Unsere Kunden müssen laut Vorgabe Tätigkeiten einiger Benutzer vollständig erfassen und protokollieren. Soweit so gut. Unsere Auditoren müssen bei der Zertifizierung schnell und einfach überprüfen, ob die Vorgaben erfüllt werden.
Ich kenne mich mit MS Systemen eigentlich sehr gut aus, weiss nun wo ich was einstellen muss um z.B. einzelne Tätigkeiten im Eventlog nachvollziehen zu können. Die Probleme sind mehr organisatorischer als technischer Natur, denn einem Linux-Pro kommen mitunter in einzelnen Fällen auch immer wieder MS Computer unter und der ist natürlich net soooooo sicher, und die Gefahr dass ich einzelne Sachen vergesse oder generell net weiss, sind da schon vorhanden.
Mein Ziel ist es, unserem Team eine ID-Liste zur Verfügung zu stellen, anhand der Auditor einfach und sicher überprüfen kann, ob die Vorgaben erfüllt sind, oder nicht. Eine solche Liste von einem aktiven Server abzufragen ist zwar logisch, aber ich kann einfach nicht alle Eventualitäten - MS+MSweb+ASP+MSSQL / MS+Apache+PHP+MySQL etc in 100en Konfigs durchgehen um eine genaue Liste zu erstellen. Deswegen die Frage, ob da jemand einen einfachen Weg kennt diese IDs katgegorisiert auszugeben, oder ob es vielleicht eine maßgebliche Referenzliste irgendwo gibt.
Und ja, alle Tätigkeiten umfasst unter anderem auch das Starten eines Webbrowsers um z.B. administrative Tätigkeiten auf dem IDS, der Firewall oder dem Loadbalancer durchzuführen. Nicht nur um den Admin zu kontrollieren sondern um auch im Falle eines erfolgreichen Angriffs ausreichend Logentries für forensische Tätigkeiten und Beweisfindung zu haben.
Ziemlich saftig, is mir klar, oder geh ich das ganze einfach falsch an?
Chris
Ich kenne mich mit MS Systemen eigentlich sehr gut aus, weiss nun wo ich was einstellen muss um z.B. einzelne Tätigkeiten im Eventlog nachvollziehen zu können. Die Probleme sind mehr organisatorischer als technischer Natur, denn einem Linux-Pro kommen mitunter in einzelnen Fällen auch immer wieder MS Computer unter und der ist natürlich net soooooo sicher, und die Gefahr dass ich einzelne Sachen vergesse oder generell net weiss, sind da schon vorhanden.
Mein Ziel ist es, unserem Team eine ID-Liste zur Verfügung zu stellen, anhand der Auditor einfach und sicher überprüfen kann, ob die Vorgaben erfüllt sind, oder nicht. Eine solche Liste von einem aktiven Server abzufragen ist zwar logisch, aber ich kann einfach nicht alle Eventualitäten - MS+MSweb+ASP+MSSQL / MS+Apache+PHP+MySQL etc in 100en Konfigs durchgehen um eine genaue Liste zu erstellen. Deswegen die Frage, ob da jemand einen einfachen Weg kennt diese IDs katgegorisiert auszugeben, oder ob es vielleicht eine maßgebliche Referenzliste irgendwo gibt.
Und ja, alle Tätigkeiten umfasst unter anderem auch das Starten eines Webbrowsers um z.B. administrative Tätigkeiten auf dem IDS, der Firewall oder dem Loadbalancer durchzuführen. Nicht nur um den Admin zu kontrollieren sondern um auch im Falle eines erfolgreichen Angriffs ausreichend Logentries für forensische Tätigkeiten und Beweisfindung zu haben.
Ziemlich saftig, is mir klar, oder geh ich das ganze einfach falsch an?
Chris
Das Eventlog protokolliert nicht alles, was Du willst. Du kannst jegliche Dateizugriffe protokollieren lassen, aber Du wirst auf keinen Fall alles dort reinbekommen, was Du suchst. Du wirst nicht sehen, was in den Anwendungen gemacht wurde, nur welche Dateien geöffnet wurden. Auch kann nicht jede Konfigurationsänderung am System aufgezeichnet werden - wie soll das gehen? Der Rechner macht nicht nicht pausenlos vorher-Nachher-Vergleiche.
Verstehe, nein gewisse Sachen werden ohnehin durch FIM gelöst. Dass ich zuerst konfigurieren muss, was aufgezeichnet werden soll, ist auch klar. Ebenso dass Applikationen nur dann protokollieren wenn die Entwickler dies auch berücksichtigt haben. Schon klar.
Der Punkt ist, dass durch eine ID-liste unsere Auditoren die, naja, nennen wir das mal die unterste Latte der Sicherheit aufgrund von ID-Aufzeichnungsvorgabe defienieren und auch anhand dieser Liste beim Audit überprüfen können, ob das aufgezeichnet wird.
z.B. User Logon <Administrator> und User Logoff <Administrator>, diese ID ist aufzuzeichnen. Was er genau tut, das kann Windows nicht aufzeichnen, nur bis zu einem gewissen Level. Aber ich möchte protokolliert haben, wenn er z.B. das Log verändert. Oder wenn er den virtuellen Speicher löscht/verändert. Ob er nun auf dem Ding irgendwo herumsurft is ne andere Sache, das interessiert nicht wirklich. Wenn er auf der Firewall rumwerkelt, wird das ohnehin dort protokolliert und über file integrity monitoring gelogt.
Da ich aber nicht alle Eventualitäten und Tätigkeiten vorhersehen kann, wäre es gut zu wissen, welche ID Nummer welches Ereignis aufzeichnet. Deswegen suche ich sowas wie eine Referenzliste. Auf der kann ich mir dann aussuchen, was alles dazugehört, und was nicht.
Wir sprechen hier nicht von einem Betrieb mit einem normalen LAN. Es geht um Rechenzentren, in höchstem Maße abgesichert, und wo wirklich alles und jedes Detail bis ins winzigste aufgezeichnet werden muss. Auch in solchen Umgebungen stoßen wir eben auf MS Server. Und da brauchen wir viel Information. Und eine Liste mit allen Möglichkeiten und bis ins Detail wäre eine große Hilfe. Sonst bleibt mir eh nix übrig, als eben erst die Grunddefnition zu erledigen, und eben nach Bedarf IDs hinzufügen. Und eben alle ID nummern durchzuforsten. man muss ja nicht jedes Rad neu erfinden
Chris
Der Punkt ist, dass durch eine ID-liste unsere Auditoren die, naja, nennen wir das mal die unterste Latte der Sicherheit aufgrund von ID-Aufzeichnungsvorgabe defienieren und auch anhand dieser Liste beim Audit überprüfen können, ob das aufgezeichnet wird.
z.B. User Logon <Administrator> und User Logoff <Administrator>, diese ID ist aufzuzeichnen. Was er genau tut, das kann Windows nicht aufzeichnen, nur bis zu einem gewissen Level. Aber ich möchte protokolliert haben, wenn er z.B. das Log verändert. Oder wenn er den virtuellen Speicher löscht/verändert. Ob er nun auf dem Ding irgendwo herumsurft is ne andere Sache, das interessiert nicht wirklich. Wenn er auf der Firewall rumwerkelt, wird das ohnehin dort protokolliert und über file integrity monitoring gelogt.
Da ich aber nicht alle Eventualitäten und Tätigkeiten vorhersehen kann, wäre es gut zu wissen, welche ID Nummer welches Ereignis aufzeichnet. Deswegen suche ich sowas wie eine Referenzliste. Auf der kann ich mir dann aussuchen, was alles dazugehört, und was nicht.
Wir sprechen hier nicht von einem Betrieb mit einem normalen LAN. Es geht um Rechenzentren, in höchstem Maße abgesichert, und wo wirklich alles und jedes Detail bis ins winzigste aufgezeichnet werden muss. Auch in solchen Umgebungen stoßen wir eben auf MS Server. Und da brauchen wir viel Information. Und eine Liste mit allen Möglichkeiten und bis ins Detail wäre eine große Hilfe. Sonst bleibt mir eh nix übrig, als eben erst die Grunddefnition zu erledigen, und eben nach Bedarf IDs hinzufügen. Und eben alle ID nummern durchzuforsten. man muss ja nicht jedes Rad neu erfinden
Chris