Monday, June 15, 2009 5:09 PM
StandaJ
Event Viewer Custom Views (vlastní zobrazení a filtry)
Připravil jsem 52 filtrů pro třídění událostí v protokolu zabezpečení (Security log) podle 52 kategorií v OS Windows Vista / 2008 / a Windows 7, jak je vypíše auditpol:
C:\Windows\system32>auditpol /get /category:*
System audit policy
Category/Subcategory (9/52)
System (5)
Security System Extension
System Integrity
IPsec Driver
Other System Events
Security State Change
Logon/Logoff (9)
Logon
Logoff
Account Lockout
IPsec Main Mode
IPsec Quick Mode
IPsec Extended Mode
Special Logon
Other Logon/Logoff Events
Network Policy Server
Object Access (11)
File System
Registry
Kernel Object
SAM
Certification Services
Application Generated
Handle Manipulation
File Share
Filtering Platform Packet Drop
Filtering Platform Connection
Other Object Access Events
Privilege Use (3)
Sensitive Privilege Use
Non Sensitive Privilege Use
Other Privilege Use Events
Detailed Tracking (4)
Process Termination
DPAPI Activity
RPC Events
Process Creation
Policy Change (6)
Audit Policy Change
Authentication Policy Change
Authorization Policy Change
MPSSVC Rule-Level Policy Change
Filtering Platform Policy Change
Other Policy Change Events
Account Management (6)
User Account Management
Computer Account Management
Security Group Management
Distribution Group Management
Application Group Management
Other Account Management Events
DS Access (4)
Directory Service Changes
Directory Service Replication
Detailed Directory Service Replication
Directory Service Access
Account Logon (4)
Kerberos Service Ticket Operations
Other Account Logon Events
Kerberos Authentication Service
Credential Validation
Kategorie jsou tříděné podle devíti původních základních kategorií do devíti skupin. Kvůli zobrazení v prohlížeči událostí jejich názvy začínají číslicí. Požadovaného setřídění v jednotlivých složkách je dosaženo správným pojmenováním konfiguračních souborů (View_N.xml, kde N je pořadové číslo (0,1,2,3,…)). Ve složce 3 Object Access jsem číslování opravil na dvouciferné, protože řazení bylo původně View_0, View_1, View_10, View_2, …
V příloze (Attachment, dole) najdete konfigurační soubory v požadované adresářové struktuře (Security Auditing). Po nakopírování do složky uživatele “%LOCALAPPDATA%\Microsoft\Event Viever\Views” nebo pro všechny uživatele do složky “%ALLUSERSPROFILE%\Microsoft\Event Viever\Views” získáte strukturu zobrazení filtrů podle výše uvedeného seznamu .
Poznámka: Řazení náhledů podle jména (čísla) souboru View_N.xml funguje ve Windows 2008 / Vista. Ve Windows 7 se náhledy setřídí podle abecedy podle názvu náhledu (filtru), tak jak je uveden v konfiguračním souboru…
Terms of Use
