Ai-je besoin d'un outil tiers pour cela ?
Réponses
Trop de publicités?
Chad Patrick
Points
371
Le message de l'OP est valide. Le problème numéro un de la journalisation, des rapports d'erreurs et des alertes est le bruit blanc. Lorsque trop d'"erreurs" sont signalées et que la plupart d'entre elles sont de faible priorité ou ne sont pas du tout préoccupantes, les administrateurs ont tendance à ignorer TOUTES les erreurs. Bon ou mauvais, c'est une réalité.
L'une des erreurs dont il parle est (je pense) l'événement ID 1111. Cela signifie simplement que vous avez une imprimante connectée avec un pilote qui n'est pas disponible sur le serveur auquel vous êtes connecté. Il s'agit d'une erreur sans importance dans la plupart des cas... il n'y a rien à "réparer" car ce n'est pas un problème.
Si vous voulez trouver les problèmes réels et que vous avez des ID d'événements spécifiques que vous ne voulez pas passer en revue, créez une vue personnalisée en suivant les étapes suivantes :
- Dans votre journal des événements, cliquez sur "Filtrer le journal actuel" dans le volet d'action d'action.
- A mi-chemin de la boîte de dialogue qui s'ouvre, vous trouverez une boîte de texte texte avec
<All Event IDs> - Remplacez ce texte par votre filtre besoins.
- Si vous voulez seulement un certain événement, mettez l'ID de cet événement là-dedans.
- Si vous en avez plusieurs, utilisez des virgules pour séparer.
- Si vous souhaitez exclure, utilisez un signe moins.
- Dans ce cas, nous utilisons "-1111" (sans les guillemets bien guillemets, bien sûr).
- Cliquez sur "OK" dans la boîte de dialogue.
- Dans le volet d'action, vous cliquez maintenant sur "Enregistrer le filtre dans la vue personnalisée".
Désormais, lorsque vous souhaitez consulter votre journal des événements, utilisez votre vue personnalisée et seules les informations qui vous intéressent vraiment s'afficheront.
Je sais qu'il s'agit d'un message tardif dans un fil mort, mais j'espère que cela aidera quelqu'un d'autre qui cherche sur Google plus que des messages du genre "[Fonctionne comme prévu, n00b !]" ;-)
Microsoft vous empêche délibérément de le faire. Le concept même de l'Observateur d'événements est de vous présenter certains événements qui peuvent nécessiter votre attention. Si quelqu'un pouvait supprimer n'importe quel événement aléatoire, le système pourrait - dans un sens - être compromis à votre insu, ce qui le rendrait dangereux.
Si un événement d'erreur est enregistré, trouvez la cause du problème et corrigez-la. Vous ne voulez pas boucher un trou dans un barrage en y collant un chewing-gum.
Si quelque chose enregistre trop souvent des événements d'information ou d'avertissement, la source du journal des événements (Microsoft ou une tierce partie) possède souvent un paramètre qui indique la fréquence ou le niveau d'enregistrement configuré pour l'application. C'est là qu'il faut aller pour minimiser la journalisation, et non en faisant une opération sur le journal des événements.
Mat
Points
2512
La seule chose que vous pouvez faire dans Windows est d'effacer tout le journal. Je n'ai trouvé qu'une seule application tierce qui prétend le faire - Winzapper Cependant, je ne l'ai jamais utilisé et il est indiqué qu'il est destiné à NT et 2000. Je ne sais donc pas s'il fonctionnera pour le serveur 2003/2008. Sachez qu'il y a un risque de corruption du journal des événements lorsque vous utilisez ces logiciels, alors soyez prudent.
Kara Marfia
Points
7892
Ce qui pourrait résoudre votre problème est de changer les politiques d'audit dans la politique de groupe. Sans savoir ce que vous voulez spécifiquement ne pas afficher, je ne suis pas sûr qu'il y ait un paramètre pour cela, mais voici un exemple.
Dans GPMC, effectuez une recherche dans Configuration de l'ordinateur - Paramètres Windows - Paramètres de sécurité - Politiques locales - Politique d'audit. Il n'y a pas beaucoup de granularité ici, mais vous pouvez peut-être vous débarrasser de ce qui remplit vos journaux. (Mes DCs ne sont pas 2008, c'est donc ce que j'ai d'un point de vue AD 2003, j'espère que ce n'est pas complètement différent)
JamieSee
Points
151
Il n'existe aucun moyen de supprimer les entrées individuelles des journaux d'événements de Windows. C'est ce qui est prévu pour un certain nombre de très bonnes raisons.
La meilleure façon de traiter les entrées de journal indésirables est de gérer les événements qui les génèrent de manière appropriée au sein de l'application. En outre, la sélection du niveau de journalisation approprié (verbeux, information, avertissement, erreur et erreur critique) pour chaque message écrit est un élément important pour fournir des journaux faciles à filtrer. Certains cadres de journalisation offrent également la possibilité de regrouper des événements identiques répétés en une seule entrée de journal avec un compte.
Malheureusement, j'ai vu un certain nombre de commentaires de personnes qui semblent ne pas avoir une compréhension fondamentale des concepts clés de la sécurité informatique. Les événements dans un journal, notamment un journal des événements de sécurité sont immuables pour une raison. Si les événements du journal des événements de sécurité pouvaient être supprimés, vous réduiriez la sécurité de l'ordinateur bien plus que si le mot de passe de quelqu'un figurait dans le journal parce qu'il a été tapé dans la mauvaise zone de texte. Les bons concepteurs de systèmes d'exploitation savent que les gens font des erreurs et que le mot de passe d'un utilisateur peut apparaître dans le journal des événements de sécurité. C'est l'une des raisons pour lesquelles les journaux des événements de sécurité ne peuvent être consultés que par les administrateurs.
La possibilité de supprimer des événements individuels du journal de sécurité permet toutefois à un attaquant de dissimuler ses activités d'une manière beaucoup plus difficile à repérer que lorsque l'effacement de l'ensemble du journal est la seule opération de suppression possible. À titre d'exemple, consultez la section "Cover Tracks" sur le site de l'Open Web Application Security Project (OWASP). Gestion des erreurs, audit et journalisation qui stipule :
Pistes de couverture
Le premier prix en matière d'enregistrement des attaques de mécanismes revient au candidat qui peut supprimer ou manipuler les entrées du journal à un niveau granulaire, "comme si l'événement ne s'était jamais produit". L'intrusion et le déploiement de rootkits permettent à un attaquant d'utiliser des outils spécialisés qui peuvent aider ou ou automatiser la manipulation de fichiers journaux connus. Dans la plupart des cas, les fichiers journaux ne peuvent être manipulés que par des utilisateurs ayant des privilèges de root / administrateur, ou via des applications approuvées de manipulation de journaux. En règle générale, les les mécanismes de journalisation doivent viser à empêcher la manipulation à un niveau granulaire, car un attaquant peut dissimuler ses traces pendant un temps considérable. longtemps sans être détecté. Question simple : si vous étiez si vous étiez compromis par un attaquant, l'intrusion serait-elle plus évidente si votre fichier journal était anormalement grand ou petit, ou s'il ressemblait à un journal de tous les jours ? tous les autres jours ?
J'ajouterais que toute personne ayant un accès administratif à un système devrait faire preuve d'une plus grande prudence et d'une plus grande attention aux détails pour commencer. Il s'agit notamment de revérifier le travail au fur et à mesure qu'il est effectué et de s'arrêter pour lire les boîtes de dialogue les plus courantes afin de se prémunir contre des erreurs préjudiciables.
Voir aussi :
- Réponses précédentes
- Plus de réponses
