29. 03. 2019
Log Management, NetEye
03. 12. 2015
MarinovMihail
NetEye
Monitorare le attività di login/logoff degli amministratori Windows con Safed
Per poter adempiere alle richieste del Garante della Privacy, ma anche per motivi di sicurezza (vedi anche il nostro articolo “Archiviazione dei log e poi?“), è necessario registrare tutte le attività di login/logoff degli amministratori di sistema. L’agente Safed per Windows può essere configurato in modo da raccogliere tutti i tentativi di login e logoff (riusciti e falliti) da parte degli amministratori di sistema. L’agent dispone di un “System Administrator Discovery” che può essere eseguito per identificare ed elencare tutti gli amministratori di un dominio. Gli amministratori possono poi essere utilizzati come oggetti di filtro. Tutti gli eventi che riguardano un login/logoff vengono registrati, formattati e spediti al log server.
Questa semplice soluzione ha però un notevole svantaggio. Se Safed monitora un domain controller con autentificazione login/logoff Kerberos, la massa di dati generati crea tantissimi file di log, sia su Safed sia sul collector server. Questo necessita di un po’ di tuning.
Riempite il campo di ricerca (accetta regexp) con quello che deve essere escluso dalla lavorazione (vedi immagine sottostante). In questo modo solo i dati effettivamente rilevanti vengono considerati ed inoltrati al log server.
MarinovMihail
Developer at Würth Phoenix
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
Latest posts by MarinovMihail
18. 06. 2019
NetEye, Unified Monitoring
Go pprof – How to Understand Where There is Memory Retention