Journal de sécurité (dans Event Viewer) énorme, Comment ça ?
Le
Glenn Gagné
Salut,
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements que je
trouve sans intérêt du fait qu'il y en a tellement que c'est pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo) c'est déjà beau de place disque pour des événements d'environ 1 Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers jours
uniquement En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon domaine
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte de
foin par la suite.
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux afin
de les filtrer sur certains événements pour les passer dans une BD SQL afin
de me faire une interface en HTML avec uniquement ce que je veux et dans une
version plus visuelle que l'Observateur d'événements ?
Merci de vos conseils.
J'ai remarqué dernièrement que le journal de sécurité dans l'observateur
d'événements est vraiment énorme et contient beaucoup d'événements que je
trouve sans intérêt du fait qu'il y en a tellement que c'est pratiquement
illisible.
NOTE: J'ai installé W2003SRV moi-même et je n'ai modifié absolument rien au
niveau des paramètres des audits et de l'observateurs (ce sont les
paramètres par défaut que Microsoft utilisent).
J'ai tout de suite remarqué que la taille alloué au journal de sécurité est
beaucoup plus grande que les autres journaux. Elle est de 131072 Ko (128
Mo) c'est déjà beau de place disque pour des événements d'environ 1 Ko
chacun !!!
Ensuit je regarde la liste des événements qui se sont produits, par grande
surprise après avoir trié par date, je me rends compte que les 128 Mo ne
loge que les événements qui se sont produits durant les 15 derniers jours
uniquement En tout 356 498 événements se sont ajoutés. Wow !
Qu'est-ce quie a pu se produire aussi souvent pour enregistrer autant
d'événements. Je regarde et tout semble être des événements d'audit de
succès. Que se passe-t-il, un hacker qui s'est essayé à répétition ?
J'efface le journal pour faire un test. J'attends 30 minutes et j'actualise
la liste, croyez-le ou non, il y a 12 775 éléments inscrits !!!
Je consulte un par un les événements (J'ai ai vérifié plus de 200) et je me
rends compte qu'il n'y a rien d'anormal dans les événements. Ce sont tous
des événements d'ouverture de session réseau ou fermeture de session.
Là faut que je vous disent que je n'ai PAS 25,000 usagers sur mon domaine
mais seulement 25 !
Je comprends vraiment pas pourquoi il y a autant d'événements enregistrés et
sans erreur ou "anormal (du genre tentative de connexion)". Je ne trouve pas
du tout utile d'avoir autant d'information d'événements pour si peux
d'activité réseau, car c'est comme chercher une aiguille dans une botte de
foin par la suite.
1- Avez-vous une idée si c'est normal que Windows 2003 Server enregistre
autant d'événements de sécurité ?
2- Si oui, avez-vous des conseils sur quel éléments à enlever des audits
afin de rendre le journal de sécurité plus léger et compréhensible ?
3- Sinon, avez un outil permettant de récupérer les données des jounaux afin
de les filtrer sur certains événements pour les passer dans une BD SQL afin
de me faire une interface en HTML avec uniquement ce que je veux et dans une
version plus visuelle que l'Observateur d'événements ?
Merci de vos conseils.
Poser une question
Juste par curiosité, c'est un 2003 ou un 2003 R2 ??
--
François Dunoyer [MVP Windows Server / Security]
Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/
Site perso : http://www.fdunoyer.net
C'est un 2003 (et non un 2003 R2) avec Service Pack 1 et toutes les mises à
jours WU installées. Il est configuré comme DC/AD/DNS et DHCP en plus du
partage de fichiers et d'imprimantes. Mais rien de plus, pas de VPN,
Terminal ou d'applications serveur.
Merci
Glenn Gagné
Technicien MCP/TI
"F. Dunoyer [MVP]" message de news:
serveurs en 2003R2. Je me suis alors demandé (sans avoir bcp de temps
pour investiguer plus) si avec le R2 il n'y avait une stratégie de log
beaucoup plus exhaustive (et de fait beaucoup plus consomatrice de
ressources).
Chez moi 128Mo c'est environ 1 semaine de fonctionnement (donc purge
régulière et archivage).
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net
"normale".
Bon personnellement je trouve la liste un peu trop longue à mon goût,
j'aimerais la réduire en éliminant quelques audits qui enregistrent leurs
événements à cet endroit.
Voici les éléments que je désirais conserver dans le log:
- Tous les événements d'échecs (accès et ouverture de session)
- Tous les événements de succès d'ouverture de session Windows
C'est tout ! Si quelqu'un peut simplement me diriger au bon endroit pour
modifier les audits du genre. J'avoue que je suis un peu perdu à ce
niveau... c'est plus comme avec NT4.
Merci
"F. Dunoyer [MVP]" message de news:
Ton serveur est en domaine ? si oui c'est dans un gpo
sinon strategie locale de securité
pour la gpo
tu en as dans
configuration ordinateurjournal des evenements : ca c'est pour la
taille
configuration ordinateurstrategies localesstrategie d'audit
ca c'est pour ce que tu choisi de tracer ou pas
--
François Dunoyer [MVP Windows Server / Security]
Quelques livres informatiques commentés :
http://fds.mvps.org/ta/biblio.htm
Site perso : http://www.fdunoyer.net