Reduciendo eventos de Auditoria en Windows 2008 R2

La auditoría es un aparte fundamental del mantenimiento de los sistemas de redes. Siempre tendemos a querer almacenar la mayor cantidad de eventos posibles, sin embargo, almacenar todos los eventos que se producen en determinadas circunstancias puede ser contraproducente.

Que auditar y que no?

La decisión de que eventos auditar y cuales no tendrá que ver indiscutiblemente con el objeto de la auditoría, así aquellos eventos que juzguemos como innecesarios para el objetivo perseguido podrán ser excluidos de la auditoría.

Porque excluir eventos?

Digamos por ej, que queremos auditar cualquier cambio a una cuenta que se produzca en el servidor, como por ej, la asignación de permisos adicionales, no estamos hablando de controladores de dominio, sino de otro tipo de servidores, por ej. un servidor SQL.

Una vez configurada la auditoría, (normalmente mediante una gpogroup policy), veremos que además de los eventos que nosotros solicitamos, hay cientos de eventos de otros orígenes.

/>

Si el servidor tiene mucha actividad de red, es posible, que “Windows Filtering Platform” genere cientos y cientos de eventos de paquetes descartados que inundan el registro de auditoría y que dependiendo de la configuración pueden acortar notoriamente el período de tiempo que nos es visible en los registros.

Evitando el registro de ciertos eventos

Para evitar, por ejemplo que “Windows Filtering Platform” guarde en el registro de seguridad los eventos en cuestión, debemos indicarle al Windows Server 2008 R2 que no los audite, ahí es cuando entra en juego nuestro amigo “auditpol

Usage: AuditPol command [<sub-command><options>]

Commands (only one command permitted per execution)

  /?               Help (context-sensitive)

  /get             Displays the current audit policy.

  /set             Sets the audit policy.

  /list            Displays selectable policy elements.

  /backup          Saves the audit policy to a file.

  /restore         Restores the audit policy from a file.

  /clear           Clears the audit policy.

  /remove          Removes the per-user audit policy for a user account.

  /resourceSACL    Configure global resource SACLs

El comando auditpol nos permite entonces excluir del registro por ej, los eventos de descartado de paquetes mediante el siguiente comando

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

Una vez ejecutado ese comando (obviamente en la línea de comandos invocada con privilegios de administrador), los eventos de descartado de paquetes no serán auditados.

También podremos no auditar o registrar mejor dicho, otro tipo de eventos, como por ej. las conexiones, donde el comando sería el siguiente.

auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Como sigue la historia

Una vez que nos aseguramos el haber quitado del medio los eventos que no queremos en los registros, nuestro archivo de registro de auditoría contendrá períodos de tiempo más prolongados para poder ser analizado (tanto si se traga de un registro circular, como de un registro de llenado continuo hasta el límite)

Nota: Debe entenderse que el presente es solo 1 ejemplo de como pueden excluirse del registro de auditoría determinados eventos, de ninguna manera constituye una recomendación general. Cada administrador debe analizar que eventos debe registrar y cuales puede o debe descartar, haciendo un análisis de costo beneficio de la pérdida de información registrable contra el análisis de información registrada.

 

Volver a lista de Notas

Comentarios
Nombre:
(opcional)
E-Mail:
(opcional)
No Completar:
(opcional)
Comentarios:
-