我和一位同事一直在讨论
Windows上的IS审计演示.
我们想要介绍的一点是,管理/高权限用户应该在失败事件的X小时内查看安全日志.有点如下
>读取失败事件的ID
>对admin / privy用户使用的权限应用过滤器,该用户受限于失败事件/安全事件日志的ID
基本上我想知道是否可以验证上次查看安全日志的时间以及由谁查看.可以这样做吗?
我会采取不同的方法.集中式日志管理程序,它从特定服务器事件生成自己的事件,1)创建服务台票证或2允许使用mgmt工具确认事件.
请记住,您的工作是将需要审核的事件数量减少到最低限度,否则您只会产生噪音并增加无用的工作量.服务器日志会产生很多噪音,因为它们背后的智能很少.
