29. 03. 2019
Log Management, NetEye
03. 12. 2015
MarinovMihail
NetEye
Login/Logoff-Aktivitäten des Windows Administrators mit Safed verfolgen
Aufgrund der aktuellen gesetzlichen Richtlinien, aber auch aus ganz einfachen Security-Überlegungen (siehe dazu auch unseren Artikel “Was tun mit den ganzen Logs“), ist es notwendig die Login/Logoff Aktivitäten des Admins mitzuloggen. Der Safed Agent für Windows kann ganz einfach so konfiguriert werden, dass alle Login/Logoff-Versuche des Admins aufgezeichnet werden. Der Agent verfügt über ein „System Administrator Discovery“ welches ausgeführt werden kann, um alle Admins einer Domain zu identifizieren und aufzulisten. Anschließend können die Administratoren als Filter-Objekt verwendet werden. Alle Events, welche ein Admin-Login/Logoff betreffen werden erfasst, formatiert und an den Log Server gesendet.
Diese recht einfache Lösung hat jedoch einen großen Nachteil. Überwacht Safed beispielsweise einen Domain-Controller mit Kerberos Login/Logoff Authentifizierungen, so erzeugt die große Menge der erfassten Events extrem viele Log-Dateien, sowohl auf Safed aber auch auf Collector-Server Seite. Diesem Effekt muss (und kann) entgegengewirkt werden.
Als erstes sollten Sie den System Administrator Filter als Letzten anwenden (Checkbox, siehe untenstehende Abbildung). Anschließend können Sie “Filtering Objectives” definieren (Aktivieren Sie hierzu die Box „Enable System Administrator Logging“)
Füllen Sie das generelle Suchfeld (akzeptiert regexp) damit, was von der Verarbeitung ausgeschlossen werden soll (siehe untenstehende Abbildung). Somit werden nur jene Daten weiterverarbeitet und an den Log Server gesendet, welche auch tatsächlich von Interesse sind.
MarinovMihail
Developer at Würth Phoenix
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
Latest posts by MarinovMihail
18. 06. 2019
NetEye, Unified Monitoring
Go pprof – How to Understand Where There is Memory Retention