Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
hat jemand mal ein KB Artikel gefunden, wo Microsoft sich äußert welche Events man beobachten sollte? Gibt das eine TOP Liste?
Der Hintergrund ist diese. Ich überwache derzeit 50 DC's. Jeder DC generiert täglich ca. 500.000 Events pro Tag. Da geht die Übersicht sehr schnell verloren. Ich möchte gerne Regeln aufbauen die nur kritische und wichtige Events anzeigt und nicht jeden pupps :-)
Es muss doch ein KB Artikel geben wo Microsoft sagt welche Events man überwachen sollte.
Hi,
umgekehrt wird ein Schuh drauss: alle Warnings und Errors, die du nicht erklären kannst, erfordern eine Aktion bzw. Klärung.
Von den 500.000 Events sind vermutlich die meisten Securitylogs. Da gibt es z.b. den Artikel in der Technet "Monitoring and Auditing for End Systems", in dem alle Events aufgelistet und erklärt sind. Wenn ein User 3-mal hintereinander ein falsches Passwort eingibt, mag das in den meisten Umgebungen ein normaler Vorgang sein. In Hochsicherheitsumgebungen kann das eine Aktion auslösen. Das musst aber du in deiner Auditingauswertung -sofern vorhanden- definieren.
die Operation Guides von Technet bieten sich da an.
Der hier bezieht sich zwar auf das MOM Managementpack, es stehen aber die überwachten Events in der Liste... Monitoring ActiveÂ*Directory Health
