क्या मुझे इसके लिए किसी तीसरे पक्ष के उपकरण की आवश्यकता है?
क्या मुझे इसके लिए किसी तीसरे पक्ष के उपकरण की आवश्यकता है?
जवाबों:
Microsoft जानबूझकर आपको ऐसा करने से रोकता है। इवेंट व्यूअर की पूरी अवधारणा आपको कुछ घटनाओं को प्रस्तुत करने के लिए है, जिन पर आपको ध्यान देने की आवश्यकता हो सकती है। यदि कोई अंदर जाकर किसी भी यादृच्छिक घटना को हटा सकता है, तो सिस्टम समझदारी से आपके साथ समझौता कर सकता है, इसलिए इसे असुरक्षित बना सकता है।
यदि आपके पास कोई त्रुटि ईवेंट लॉग है, तो पता करें कि समस्या क्या है और इसे ठीक करें। आप छेद में गोंद की एक छड़ी चिपकाकर एक बांध में छेद नहीं करना चाहते हैं।
यदि कोई चीज अक्सर सूचनात्मक या सावधानीपूर्वक घटनाओं को लॉग कर रही है, तो कई बार इवेंट लॉग स्रोत (या तो Microsoft या एक तृतीय-पक्ष) में कुछ सेटिंग होती है जो इंगित करती है कि आवेदन के लिए कितनी बार या किस स्तर पर लॉगिंग कॉन्फ़िगर की गई है। यह वह जगह है जहाँ आप लॉगिंग को कम करने के लिए जाते हैं, इवेंट लॉग पर सर्जरी करके नहीं।
ओपी का पद मान्य है। लॉगिंग, त्रुटि रिपोर्टिंग और चेतावनी के साथ नंबर एक समस्या सफेद शोर है। जब बहुत अधिक "त्रुटियों" की सूचना दी जाती है और उनमें से अधिकांश कम प्राथमिकता या बिना किसी चिंता के होती हैं, तो व्यवस्थापक सभी त्रुटियों को अनदेखा कर देते हैं। अच्छा या बुरा, यह जीवन का एक तथ्य है।
जिन त्रुटियों के बारे में वह बात कर रहे हैं उनमें से एक है (मुझे लगता है) इवेंट आईडी 1111। इसका सीधा सा मतलब है कि आपके पास एक ड्राइवर के साथ मैप किया गया है जो उस सर्वर पर उपलब्ध नहीं है जिससे आप जुड़े हैं। यह ज्यादातर मामलों में बिना किसी चिंता के एक त्रुटि है ... कोई समस्या "ठीक" नहीं है क्योंकि यह कोई समस्या नहीं है।
यदि आप वास्तविक समस्याओं का पता लगाना चाहते हैं और आपके पास विशिष्ट ई-मेल आईडी है, जिसके माध्यम से आप खरपतवार की परवाह नहीं करते हैं, तो निम्न चरणों के साथ एक कस्टम दृश्य बनाएं:
<All Event IDs>
अब जब आप अपने ईवेंट लॉग को देखना चाहते हैं, तो अपने कस्टम दृश्य का उपयोग करें और केवल वही जानकारी जिसे आप वास्तव में संबंधित हैं, प्रदर्शित किया जाएगा।
मुझे पता है कि यह एक मृत धागे के लिए एक देर से पोस्ट है, लेकिन उम्मीद है कि यह किसी और को मदद करता है जो इसे "[इच्छित रूप से कार्य करना, n00b!]" ;-) के पदों से अधिक है।
केवल एक चीज जो आप विंडोज में कर सकते हैं वह है पूरी लॉग को साफ़ करना। मुझे केवल एक थर्ड पार्टी ऐप मिला, जो ऐसा करने का दावा करता है - विनज़ैपर , हालांकि मैंने कभी इसका इस्तेमाल नहीं किया है और यह बताता है कि यह NT और 2000 के लिए है, इसलिए मुझे नहीं पता कि यह सर्वर 2003/2008 के लिए काम करेगा या नहीं। ध्यान रखें कि इनका उपयोग करते समय ईवेंट लॉग के भ्रष्टाचार की संभावना है, इसलिए कैरीफुल तरीके से चलें।
समूह नीति में ऑडिट नीतियों को बदलने के लिए आपकी समस्या का समाधान क्या हो सकता है। यह जानने के बिना कि आप विशेष रूप से क्या दिखाना चाहते हैं, मुझे यकीन नहीं है कि इसके लिए कोई सेटिंग है, लेकिन यहां एक उदाहरण है।
GPMC में, कंप्यूटर कॉन्फ़िगरेशन - विंडोज सेटिंग्स - सुरक्षा सेटिंग्स - स्थानीय नीतियां - ऑडिट पॉलिसी के माध्यम से ड्रिल करें। यहाँ पर ग्रैन्युलैरिटी का TON नहीं है, लेकिन हो सकता है कि आप अपने लॉग को भरने से छुटकारा पा लें। (मेरे डीसी 2008 नहीं हैं, इसलिए यह वही है जो मुझे 2003 ईस्वी के परिप्रेक्ष्य से मिला है, उम्मीद है कि यह पूरी तरह से अलग नहीं है)
विंडोज इवेंट लॉग से व्यक्तिगत लॉग प्रविष्टियों को हटाने का कोई समर्थित तरीका नहीं है। यह जानबूझकर बहुत अच्छे कारणों के लिए उस तरह से डिज़ाइन किया गया है।
अवांछित लॉग प्रविष्टियों को संबोधित करने का सबसे अच्छा तरीका उन घटनाओं को संभालना है जो उन्हें एप्लिकेशन के भीतर उचित रूप से उत्पन्न करते हैं। इसके अलावा, प्रत्येक संदेश के लिए उपयुक्त लॉग स्तर, अर्थात क्रिया, सूचना, चेतावनी, त्रुटि और महत्वपूर्ण त्रुटि का चयन करना, लॉग प्रदान करने में एक महत्वपूर्ण घटक है जो फ़िल्टर करना आसान है। कुछ लॉगिंग फ्रेमवर्क एक गिनती के साथ एकल लॉग प्रविष्टि में बार-बार समान घटनाओं को रोल करने की क्षमता प्रदान करते हैं।
दुर्भाग्य से, मैंने उन लोगों की काफी टिप्पणियां देखी हैं, जो कंप्यूटर सुरक्षा अवधारणाओं की एक बुनियादी समझ से चूक रहे हैं। लॉग में होने वाली घटनाएं, विशेष रूप से सुरक्षा इवेंट लॉग , एक कारण से अपरिवर्तनीय हैं। यदि सुरक्षा ईवेंट लॉग में ईवेंट हटाए जा सकते हैं, तो आप लॉग में किसी का पासवर्ड होने से कहीं अधिक कंप्यूटर की सुरक्षा को कम कर देंगे क्योंकि उन्होंने इसे गलत टेक्स्ट बॉक्स में टाइप किया था। अच्छे OS डिज़ाइनर जानते हैं कि लोग गलतियाँ करते हैं और सुरक्षा इवेंट लॉग में उपयोगकर्ता का पासवर्ड दिखाई दे सकता है। यह एक कारण है कि सुरक्षा इवेंट लॉग को केवल व्यवस्थापकों द्वारा देखे जाने की अनुमति है।
सुरक्षा लॉग से व्यक्तिगत घटनाओं को हटाने की क्षमता प्रदान करना, हालांकि, एक हमलावर को अपनी गतिविधियों को छुपाने की अनुमति देता है, जो कि पूरे लॉग को क्लीयर करने के लिए प्रदान किए जाने वाले एकमात्र प्रकार के ऑपरेशन की तुलना में स्पॉट करना अधिक कठिन है। बिंदु के रूप में, ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) साइट के एरर हैंडलिंग, ऑडिटिंग और लॉगिंग पेज पर कवर ट्रैक्स सेक्शन को संदर्भित करता है जो बताता है:
ट्रैक को कवर करें
लॉगिंग मेकेनिज्म अटैक में शीर्ष पुरस्कार दावेदार को जाता है जो एक दानेदार स्तर पर लॉग प्रविष्टियों को हटा या हेरफेर कर सकता है, "हालांकि यह घटना कभी भी नहीं हुई!"। रूटकिट्स की घुसपैठ और तैनाती एक हमलावर को विशेष साधनों का उपयोग करने की अनुमति देती है जो ज्ञात लॉग फ़ाइलों के हेरफेर को सहायता या स्वचालित कर सकती है। ज्यादातर मामलों में, लॉग फाइल को केवल रूट / एडमिनिस्ट्रेटर विशेषाधिकारों के साथ या अनुमोदित लॉग हेरफेर अनुप्रयोगों के माध्यम से चालाकी से किया जा सकता है। एक सामान्य नियम के रूप में, लॉगिंग मैकेनिज्म का लक्ष्य एक दानेदार स्तर पर हेरफेर को रोकने का लक्ष्य होना चाहिए क्योंकि एक हमलावर बिना पता लगाए काफी समय तक अपनी पटरियों को छिपा सकता है। सरल प्रश्न; यदि आपको किसी हमलावर द्वारा समझौता किया जा रहा है, तो क्या घुसपैठ अधिक स्पष्ट होगी यदि आपकी लॉग फ़ाइल असामान्य रूप से बड़ी या छोटी थी।
मैं आगे तर्क दूंगा कि जिस किसी के पास सिस्टम तक प्रशासनिक पहुंच है, उसे शुरू करने के लिए सावधानी और ध्यान के उच्च स्तर पर संलग्न होना चाहिए। इसका एक हिस्सा डबल-चेकिंग का काम है क्योंकि यह प्रदर्शन किया जाता है और नुकसानदायक गलतियों से बचाने के लिए सामान्य संवाद बक्से को पढ़ने के लिए रोक दिया जाता है।
यह सभी देखें:
इवेंट लॉग और इवेंट स्रोत को हटाने के लिए आप एक .net अनुप्रयोग लिख सकते हैं।
उदाहरण स्रोत कोड नीचे के रूप में:
class Program
{
static void Main(string[] args)
{
System.Diagnostics.EventLog.DeleteEventSource("YourEventSourceName");
System.Diagnostics.EventLog.Delete("YourEventName");
}
}
संदर्भ: http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog(v=vs.100).aspx
आप ईवेंट हटाने के लिए इस शेयर रजिस्ट्री स्थान से प्रविष्टि को हटा सकते हैं:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ सेवाओं \ eventlog