Аудит событий 4656 и 4658 в папке Windows на сервере 2008

Question

Аудит событий 4656 и 4658 в папке Windows на сервере 2008

Во время ночного резервного копирования состояния системы мы видим тысячи успешных событий аудита (4656, 4658) в папке c:\windows\servicing, system32 и других в папке windows.

Мы используем аудит успешности файлов для некоторых файлов, поэтому я не могу отключить его, но этот потоп заполняет журналы и усложняет отчетность.

В чем вред изменения настроек аудита в папке Windows?

Каковы рекомендуемые настройки для файлов для тех, кто выполняет резервное копирование состояния системы?

Спасибо,

1

windows-server-2008 security audit

Источник

PCurd 22 июл '09 в 13:24

1 ответ

Решение

Другие вопросы по тегам windows-server-2008 security audit

blueberryfields 04 янв '10 в 17:50 2010-01-04 17:50 · Accepted Answer · 2010-01-04 17:50

Насколько я знаю, Windows 2008 напрямую не использует инструмент аудита для каких-либо стандартных функций системы. Другими словами, изменение настроек не должно иметь побочных эффектов.

Если вы включили параметры аудита, у вас должен быть список требований к ним - вы должны полагаться на аудиты для каких-то целей и иметь набор требований с точки зрения того, что регистрируется, а что нет. Используйте эту информацию, чтобы решить, что и когда регистрировать.