Event Viewer Custom Views (vlastní zobrazení a filtry)

Pripravil jsem 52 filtru pro trídení událostí v protokolu zabezpecení (Security log) podle 52 kategorií v OS Windows Vista / 2008 / a Windows 7, jak je vypíše auditpol:

 C:\Windows\system32>auditpol /get /category:*
System audit policy
Category/Subcategory (9/52)

System (5)  
  Security System Extension
  System Integrity
  IPsec Driver 
  Other System Events
  Security State Change 
Logon/Logoff (9)  
  Logon  
  Logoff 
  Account Lockout 
  IPsec Main Mode 
  IPsec Quick Mode
  IPsec Extended Mode
  Special Logon
  Other Logon/Logoff Events
  Network Policy Server 
Object Access (11)  
  File System  
  Registry  
  Kernel Object
  SAM 
  Certification Services
  Application Generated 
  Handle Manipulation
  File Share
  Filtering Platform Packet Drop 
  Filtering Platform Connection  
  Other Object Access Events  
Privilege Use (3)
  Sensitive Privilege Use  
  Non Sensitive Privilege Use 
  Other Privilege Use Events  
Detailed Tracking (4)
  Process Termination
  DPAPI Activity  
  RPC Events
  Process Creation
Policy Change (6)
  Audit Policy Change
  Authentication Policy Change
  Authorization Policy Change 
  MPSSVC Rule-Level Policy Change
  Filtering Platform Policy Change  
  Other Policy Change Events  
Account Management (6)
  User Account Management  
  Computer Account Management 
  Security Group Management
  Distribution Group Management  
  Application Group Management
  Other Account Management Events
DS Access (4)
  Directory Service Changes
  Directory Service Replication  
  Detailed Directory Service Replication  
  Directory Service Access 
Account Logon (4)
  Kerberos Service Ticket Operations
  Other Account Logon Events  
  Kerberos Authentication Service
  Credential Validation 

Kategorie jsou trídené podle devíti puvodních základních kategorií do devíti skupin. Kvuli zobrazení v prohlížeci událostí jejich názvy zacínají císlicí. Požadovaného setrídení v jednotlivých složkách je dosaženo správným pojmenováním konfiguracních souboru (View_N.xml, kde N je poradové císlo (0,1,2,3,…)). Ve složce 3 Object Access jsem císlování opravil na dvouciferné, protože razení bylo puvodne View_0, View_1, View_10, View_2, …

image

V príloze (Attachment, dole) najdete konfiguracní soubory v požadované adresárové strukture (Security Auditing). Po nakopírování do složky uživatele “%LOCALAPPDATA%\Microsoft\Event Viever\Views” nebo pro všechny uživatele do složky “%ALLUSERSPROFILE%\Microsoft\Event Viever\Views” získáte strukturu zobrazení filtru podle výše uvedeného seznamu .

Poznámka: Razení náhledu podle jména (císla) souboru View_N.xml funguje ve Windows 2008 / Vista. Ve Windows 7 se náhledy setrídí podle abecedy podle názvu náhledu (filtru), tak jak je uveden v konfiguracním souboru…

Terms of Use 

Znacky Technorati: Admin,Security Audit,Windows 2008 Server

Security_Auditing_Views_1k.zip