Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements... que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1 Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux afin
de les filtrer sur certains événements pour les passer dans une BD SQL afin
de me faire une interface en HTML avec uniquement ce que je veux et dans une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements... que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1 Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux afin
de les filtrer sur certains événements pour les passer dans une BD SQL afin
de me faire une interface en HTML avec uniquement ce que je veux et dans une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements... que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1 Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux afin
de les filtrer sur certains événements pour les passer dans une BD SQL afin
de me faire une interface en HTML avec uniquement ce que je veux et dans une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements...
que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est
pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien
au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité
est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1
Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par
grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers
jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et
j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je
me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont
tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon
domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements
enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve
pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte
de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux
afin
de les filtrer sur certains événements pour les passer dans une BD SQL
afin
de me faire une interface en HTML avec uniquement ce que je veux et dans
une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Juste par curiosité, c'est un 2003 ou un 2003 R2 ??
--
François Dunoyer [MVP Windows Server / Security]
Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/
Site perso : http://www.fdunoyer.net
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements...
que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est
pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien
au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité
est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1
Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par
grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers
jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et
j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je
me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont
tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon
domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements
enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve
pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte
de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux
afin
de les filtrer sur certains événements pour les passer dans une BD SQL
afin
de me faire une interface en HTML avec uniquement ce que je veux et dans
une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Juste par curiosité, c'est un 2003 ou un 2003 R2 ??
--
François Dunoyer [MVP Windows Server / Security]
Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/
Site perso : http://www.fdunoyer.net
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements...
que je
trouve sans intérêt... du fait qu'il y en a tellement que c'est
pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien
au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité
est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo)... c'est déjà beau de place disque pour des événements d'environ 1
Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par
grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers
jours
uniquement... En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et
j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je
me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont
tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon
domaine...
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements
enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve
pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte
de
foin par la suite.
---------------------------
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux
afin
de les filtrer sur certains événements pour les passer dans une BD SQL
afin
de me faire une interface en HTML avec uniquement ce que je veux et dans
une
version plus visuelle que l'Observateur d'événements ?
---------------------------
Merci de vos conseils.
Juste par curiosité, c'est un 2003 ou un 2003 R2 ??
--
François Dunoyer [MVP Windows Server / Security]
Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/
Site perso : http://www.fdunoyer.net
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les
mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les
mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les
mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Ok, donc je peux comprendre que la quantité d'événements enregistrés est
"normale".
Bon personnellement je trouve la liste un peu trop longue à mon goût,
j'aimerais la réduire en éliminant quelques audits qui enregistrent leurs
événements à cet endroit.
Voici les éléments que je désirais conserver dans le log:
- Tous les événements d'échecs (accès et ouverture de session)
- Tous les événements de succès d'ouverture de session Windows
C'est tout ! Si quelqu'un peut simplement me diriger au bon endroit pour
modifier les audits du genre. J'avoue que je suis un peu perdu à ce
niveau... c'est plus comme avec NT4.
Merci
"F. Dunoyer [MVP]" ~.net> a écrit dans le
message de news:Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Ok, donc je peux comprendre que la quantité d'événements enregistrés est
"normale".
Bon personnellement je trouve la liste un peu trop longue à mon goût,
j'aimerais la réduire en éliminant quelques audits qui enregistrent leurs
événements à cet endroit.
Voici les éléments que je désirais conserver dans le log:
- Tous les événements d'échecs (accès et ouverture de session)
- Tous les événements de succès d'ouverture de session Windows
C'est tout ! Si quelqu'un peut simplement me diriger au bon endroit pour
modifier les audits du genre. J'avoue que je suis un peu perdu à ce
niveau... c'est plus comme avec NT4.
Merci
"F. Dunoyer [MVP]" <wdunoyer-nimportequoi@laposte~.net> a écrit dans le
message de news:mn.2bca7d6cdf90e7d9.14554@laposte.net...
Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Ok, donc je peux comprendre que la quantité d'événements enregistrés est
"normale".
Bon personnellement je trouve la liste un peu trop longue à mon goût,
j'aimerais la réduire en éliminant quelques audits qui enregistrent leurs
événements à cet endroit.
Voici les éléments que je désirais conserver dans le log:
- Tous les événements d'échecs (accès et ouverture de session)
- Tous les événements de succès d'ouverture de session Windows
C'est tout ! Si quelqu'un peut simplement me diriger au bon endroit pour
modifier les audits du genre. J'avoue que je suis un peu perdu à ce
niveau... c'est plus comme avec NT4.
Merci
"F. Dunoyer [MVP]" ~.net> a écrit dans le
message de news:Salut,
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
Je demande ça car j'ai eu la même "surprise" en déployant de nouveaux
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
Bon j'ai réduit énormément les audits, j'ai environ 30 événements en 30
minutes (sur un réseau de 25 utilisateurs) mais cette stratégie ne donne
pas grand chose d'utile.... Donc "Auditer les événements de connexion aux
comptes" n'est pas bon pour moi. À moins que quelqu'un m'explique comment
utiliser le retour d'information de cet audit ???
-------------------------------------------------
Hey hey !!! Je laisse mon texte ci-haut écrit pour les gens intéressés, mais
j'ai finalement trouvé l'information que je voulais pour bien gérer les
audits de sécurité:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true
cool je vais aussi regarder
Bon j'ai réduit énormément les audits, j'ai environ 30 événements en 30
minutes (sur un réseau de 25 utilisateurs) mais cette stratégie ne donne
pas grand chose d'utile.... Donc "Auditer les événements de connexion aux
comptes" n'est pas bon pour moi. À moins que quelqu'un m'explique comment
utiliser le retour d'information de cet audit ???
-------------------------------------------------
Hey hey !!! Je laisse mon texte ci-haut écrit pour les gens intéressés, mais
j'ai finalement trouvé l'information que je voulais pour bien gérer les
audits de sécurité:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true
cool je vais aussi regarder
Bon j'ai réduit énormément les audits, j'ai environ 30 événements en 30
minutes (sur un réseau de 25 utilisateurs) mais cette stratégie ne donne
pas grand chose d'utile.... Donc "Auditer les événements de connexion aux
comptes" n'est pas bon pour moi. À moins que quelqu'un m'explique comment
utiliser le retour d'information de cet audit ???
-------------------------------------------------
Hey hey !!! Je laisse mon texte ci-haut écrit pour les gens intéressés, mais
j'ai finalement trouvé l'information que je voulais pour bien gérer les
audits de sécurité:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true
cool je vais aussi regarder