Pull to refresh

Comments 12

История #N.

Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. Очевидно, случилось нечто хреновое.

“Мартин, — раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет того хренового происшествия”.

Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что тут ничего нельзя поделать.

Начальник был раздосадован, но Мартин объяснил, что их текущее решение никуда не годится, так что все логично.

“Ах, если бы использовали решения компании NetWrix”, — вздохнул Мартин.

“Да, Мартин, да”, — согласился начальник.

Какие возможные решения существуют, чтобы не допускать такого впредь?

Дисклеймер: У NetWrix имеются такие решения.
Написал скрипт из 15 строчек на Powershell для выгрузки нужных журналов в xml. Отправил его в планировщик. Забыл навсегда.
Можно и в две
get-eventlog security -before (get-date (get-date).AddDays(-1))|export-clixml («c:\logs\»+(get-date -uformat "%Y%m%d")+".xml")
clear-eventlog security

(но что-то мне подсказывает, что кое-какие записи могут потеряться)

Ну и заодно не отмазывался бы в 2012 году что «в Windows-сервере 2000, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности.», потому что с момента его установки прошло 12 лет.

В Windows Server 2003 он мог бы попробовать включить ключ: AutoBackupLogFiles msdn.microsoft.com/en-us/library/windows/desktop/aa363648(v=vs.85).aspx

В Windows Server 2008 ключ превратился в галку в интерфейсе: Archive the log when full, do not overwrite events. technet.microsoft.com/en-us/library/cc721981.aspx

Это была реклама Technet.
Уважаемый gotch,

Приведенные Вами варианты решений имеют недостатки:

1. Обработка всех записей журналов событий приводит к большому количеству неинформативных данных. Найти информацию о реальных изменениях в полученных .xml – непростая задача.

2. Сбор данных осуществляется на каждом сервере. А если в компании их 300? Найти нужную информацию будет серьезной проблемой!

3. Хранение архивов журналов безопасности требует большого дискового пространства. В развитых средах через месяц такого хранения потребуются дополнительные меры по его организации. Долгосрочное – в течение нескольких лет — хранение далеко не всегда может быть осуществлено таким образом.

С уважением,
Антон Ч.
1. В том же конвеере легко добавляется фильтрация
2. Вообще-то Powershell преспокойно работает по сети. Очень продвинутая и масштабируемая система.
3. Разумеется, понадобится место под логи. Хотя, в принципе, можно архивировать теми же скриптами.

Антон, ваша программа, может быть, и хороша, но вот начало со впариванием было неудачным.
>Антон, ваша программа, может быть, и хороша, но вот начало со впариванием было неудачным.
Максим, Вы правы. Мы это уже поняли и работаем над этим.
Спасибо!

С уважением,
Антон Ч.
Уважаемый Антон,

«Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности»

вот эту часть рассказа мы обсуждаем.

Про то, что в организации на 300+ серверов, наверно, все же окажется OpsMgr и его ACS, тоже логично.

(А по остальной части — был в 2001 годувот такой продукт www.gfi.com/pages/lanselm)

Нет я совсем не против вашего продукта, я очень даже за, потому что представляю, за что предлагается заплатить.

Меня немного огорчает техническая неточность вашего хужожественного замысла. :-)
Уважаемый gotch,

Бывает, ходишь с расстегнутой не при дамах будь сказано ширинкой, все поглядывают косо — и никто не скажет. Спасибо, что сообщили об этой неточности! Конечно, возможности долгосрочного хранения логов не отсутствуют, хоть они и довольно громоздки.

Честно сказать, мы при написании этого поста положились на Дона Джонса (http://concentratedtech.com/about/don-jones.php), который написал на английском языке whitepaper www.netwrix.com/download/WhitePapers/NetWrix_WP_The_Audit_Zone_Five_Stories_of_Suspense_and_Security.pdf, и не проверяли его текста.

Так что, видимо, Вашим огорчением мы обязаны Дону. Нас это в свою очередь огорчает. Но мы уже придумали, как исправить ситуацию с техническими неточностями наших замыслов и работаем над новым проектом. Надеюсь, он Вам понравится!

Что касается приведенного Вами продукта GFI и его более современной версии — у нас есть конкурентный продукт NetWrix Event Log Manager (http://www.netwrix.com/event_log_archiving_consolidation_freeware.html). При общей равной «весовой категории» у нашей программы есть некоторые преимущества перед ним. Если Вам интересно, могу привести подробности.

Но это инструменты для сбора логов. Вы же согласны с тем, что ими не осуществляется аудит изменений групповых политик полностью?

С уважением,
Антон Ч.
Only those users with full accounts are able to leave comments. Log in, please.