Administrar registros sucesos mediante GPO

18/09/2008 - 08:46 por Paco | Informe spam
Buenos días,
Estoy intentando administrar el registro de seguridad de 4 servidores
mediante GPO para que me aguante por lo menos 7 días.
En el Defaul Domain Policy / Config. del equipo / Config. Seguridad /
Registro de sucesos tengo establecido lo siguiente:
- Conservar el registro de seguridad: 7 días
- Método de retención del registro de seguridad: Por días
- Tamaño máximo del registro de seguridad: 3896448 kb

En uno de los servers al iniciar sesión me muestra: "El registro de
seguridad de este sistema está lleno" y se ha parado cuando no llevaba
ni un día siquiera (registró 796.506 sucesos desde las 8:30 am hasta las
10:45 am) y en las propiedades indica que dicho registro ocupa 377 MB,
por lo que todavía no ha llegado al máximo que le he puesto en la directiva.

Desconozco porqué se para... por favor asesorarme cómo debo proceder
para que me aguante lo establecido en la directiva.

Gracias!

Preguntas similare

Leer las respuestas

#1 Fernando Reyes [MS MVP]
18/09/2008 - 09:57 | Informe spam
Revisa que ese equipo esté recibiendo la política correctamente ejecutando
gpresult en él. Respecto a lo de que se para ¿te refieres a que se apaga el
sistema? Eso se produce si está habilitada la directiva "Configuración del
equipop\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad\Auditoría: apagar el sistema de inmediato si
no puede registrar auditorías de seguridad". Es sentido de esto es que si
quieres tener bien auditada la seguridad, no se debe poder usar el sistema
si no se pueden registrar los sucesos de seguridad, pues entonces la
seguridad sería "saltada" al no registrarse lo que se hace. En estos casos,
es necesario entrar como administrador y borrar el visor de sucesos de
seguridad, exportándolo antes.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Paco" escribió en el mensaje de noticias
news:
Buenos días,
Estoy intentando administrar el registro de seguridad de 4 servidores
mediante GPO para que me aguante por lo menos 7 días.
En el Defaul Domain Policy / Config. del equipo / Config. Seguridad /
Registro de sucesos tengo establecido lo siguiente:
- Conservar el registro de seguridad: 7 días
- Método de retención del registro de seguridad: Por días
- Tamaño máximo del registro de seguridad: 3896448 kb

En uno de los servers al iniciar sesión me muestra: "El registro de
seguridad de este sistema está lleno" y se ha parado cuando no llevaba ni
un día siquiera (registró 796.506 sucesos desde las 8:30 am hasta las
10:45 am) y en las propiedades indica que dicho registro ocupa 377 MB, por
lo que todavía no ha llegado al máximo que le he puesto en la directiva.

Desconozco porqué se para... por favor asesorarme cómo debo proceder para
que me aguante lo establecido en la directiva.

Gracias!
Respuesta Responder a este mensaje
#2 Paco
18/09/2008 - 10:27 | Informe spam
Fernando Reyes [MS MVP] escribió:
Revisa que ese equipo esté recibiendo la política correctamente
ejecutando gpresult en él. Respecto a lo de que se para ¿te refieres a
que se apaga el sistema? Eso se produce si está habilitada la directiva
"Configuración del equipop\Configuración de Windows\Configuración de
seguridad\Directivas locales\Opciones de seguridad\Auditoría: apagar el
sistema de inmediato si no puede registrar auditorías de seguridad". Es
sentido de esto es que si quieres tener bien auditada la seguridad, no
se debe poder usar el sistema si no se pueden registrar los sucesos de
seguridad, pues entonces la seguridad sería "saltada" al no registrarse
lo que se hace. En estos casos, es necesario entrar como administrador y
borrar el visor de sucesos de seguridad, exportándolo antes.




Gracias por tu rápida respuesta!
Te comento:
La política la está recibiendo correctamente (comprobado con gpresult y
aparte porque pertenece a la Default Domain Policy).
Con lo de pararse me refiero a que deja de grabar eventos. El visor de
seguridad se detiene pero el resto siguen registrando sucesos y el
sistema se encuentra estable.
Lo que si observo es que se registran muchos sucesos, demasiados pienso
yo... He borrado el registro a las 8:30 y hasta ahora mismo lleva
registrado más de 70.000 eventos...
Es un servidor miembro que funciona con los roles de servidor de
archivos y de impresión únicamente.
Tengo auditadas con Correcto/Error ciertas carpetas compartidas y además
los logs típicos para la cola de impresión. Las carpetas del sistema les
tengo desmarcadas el checkbox de heredar auditoría para que no las mire.

Lo que no entiendo es cómo si le digo que el tamaño de dicho registro es
de 3896448kb (3 GB!) y el tamaño actual del registro es de 22MB cuando
lelva poco más de 20h grabando eventos se para...
Respuesta Responder a este mensaje
#3 Fernando Reyes [MS MVP]
18/09/2008 - 11:07 | Informe spam
Que se registren muchos sucesos es perféctamente posible si se han
configurado auditorías amplias. Las auditorías deben ser configuradas las
mínimas necesriasz, afectando al menor número de objetos y registrando los
movimientos del menor número de usuarios posibles, pues si no se sobrecarga
al sistema con las auditorías.

¿Qué equipo es, un Windows 2000 pre SP4? Si es así, éste es un
comportamiento erróneo que tienen y que se soluciona con el SP4:

312571 - The event log stops logging events before reaching the maximum log
size
http://support.microsoft.com/kb/312571/en-us


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Paco" escribió en el mensaje de noticias
news:eE%
Fernando Reyes [MS MVP] escribió:
Revisa que ese equipo esté recibiendo la política correctamente
ejecutando gpresult en él. Respecto a lo de que se para ¿te refieres a
que se apaga el sistema? Eso se produce si está habilitada la directiva
"Configuración del equipop\Configuración de Windows\Configuración de
seguridad\Directivas locales\Opciones de seguridad\Auditoría: apagar el
sistema de inmediato si no puede registrar auditorías de seguridad". Es
sentido de esto es que si quieres tener bien auditada la seguridad, no se
debe poder usar el sistema si no se pueden registrar los sucesos de
seguridad, pues entonces la seguridad sería "saltada" al no registrarse
lo que se hace. En estos casos, es necesario entrar como administrador y
borrar el visor de sucesos de seguridad, exportándolo antes.




Gracias por tu rápida respuesta!
Te comento:
La política la está recibiendo correctamente (comprobado con gpresult y
aparte porque pertenece a la Default Domain Policy).
Con lo de pararse me refiero a que deja de grabar eventos. El visor de
seguridad se detiene pero el resto siguen registrando sucesos y el sistema
se encuentra estable.
Lo que si observo es que se registran muchos sucesos, demasiados pienso
yo... He borrado el registro a las 8:30 y hasta ahora mismo lleva
registrado más de 70.000 eventos...
Es un servidor miembro que funciona con los roles de servidor de archivos
y de impresión únicamente.
Tengo auditadas con Correcto/Error ciertas carpetas compartidas y además
los logs típicos para la cola de impresión. Las carpetas del sistema les
tengo desmarcadas el checkbox de heredar auditoría para que no las mire.

Lo que no entiendo es cómo si le digo que el tamaño de dicho registro es
de 3896448kb (3 GB!) y el tamaño actual del registro es de 22MB cuando
lelva poco más de 20h grabando eventos se para...
Respuesta Responder a este mensaje
#4 Paco
18/09/2008 - 15:46 | Informe spam
Fernando Reyes [MS MVP] escribió:
Que se registren muchos sucesos es perféctamente posible si se han
configurado auditorías amplias. Las auditorías deben ser configuradas
las mínimas necesriasz, afectando al menor número de objetos y
registrando los movimientos del menor número de usuarios posibles, pues
si no se sobrecarga al sistema con las auditorías.

¿Qué equipo es, un Windows 2000 pre SP4? Si es así, éste es un
comportamiento erróneo que tienen y que se soluciona con el SP4:

312571 - The event log stops logging events before reaching the maximum
log size
http://support.microsoft.com/kb/312571/en-us




El equipo es un Windows 2003 std. SP2
He estado comprobando directorios como C:\WINDOWS o C:\Archivos de
programa para evitar que hereden de la raiz las entradas de auditoría y
así ir quitándole peso al registro.
Voy a observarlo estos días a ver si es capaz de llegar al límite de los
3GB que le he impuesto o si por el contrario se para antes, que es lo
suele ocurrir y que me mosquea...

Gracias!
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida