การเก็บ log ความปลอดภัยแบบอัตโนมัติใน Event Viewer

ฟีเจอร์เล็ก ๆ ที่ซ่อนอยู่ใน Event Viewer ของ Microsoft คือความสามารถในการเก็บ log อัตโนมัติเมื่อ log เต็ม โดยแน่นอนว่า log ที่สำคัญที่สุดประเภทหนึ่งใน Event Viewer ก็คือ security log เป็นเวลาหลายปีที่ผู้ดูแลระบบต้องพัฒนาโซลูชันเองหรือซื้อซอฟต์แวร์เพิ่มเติมเพื่อช่วยเก็บสำรอง security log เมื่อมันเต็ม แต่ตอนนี้ไม่จำเป็นอีกต่อไปแล้ว

ขั้นแรก คุณสามารถเปิดใช้การเก็บ log อัตโนมัติได้โดยเข้าไปที่คุณสมบัติ (Properties) ของ security log ดังแสดงในภาพที่ 1

ภาพที่ 1: security log สามารถตั้งให้เก็บแบบอัตโนมัติเมื่อเต็มได้

คุณยังสามารถตั้งค่าผ่าน Group Policy ได้ ซึ่งช่วยให้คุณควบคุม security log และวิธีการเก็บสำรอง (archive) ได้ละเอียดมากขึ้น หากคุณเข้าไปที่ GPO ตาม path นี้:
Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security คุณจะเห็นนโยบายที่เกี่ยวข้อง ดังแสดงในภาพที่ 2

ภาพที่ 2: การตั้งค่า security log ใน Group Policy

ค่าที่แนะนำคือ เปิดใช้ “Retain old events” (เก็บ log เก่าไว้) และเปิด “Backup log automatically when full” (สำรอง log อัตโนมัติเมื่อเต็ม) วิธีนี้จะสร้างไฟล์ใหม่สำหรับ log ที่เต็มแล้ว และเปิด log ใหม่สำหรับเหตุการณ์ใหม่ที่เกิดขึ้น หากคุณต้องการควบคุมว่า log ที่ถูกสำรองจะถูกเก็บไว้ที่ใด ควรตั้งค่า “Log File Path” เพิ่มเติมด้วย

ADAudit Plus สามารถสร้างรายงานเชิงลึกและแจ้งเตือนแบบเรียลไทม์จาก event log ซึ่งช่วยตอบสนองความต้องการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด (compliance) แน่นอนว่าการเข้าถึง log เหล่านี้เป็นเรื่องอีกขั้นหนึ่งเลย คุณจะต้องใช้เครื่องมือที่ช่วยในการนำเข้า log, เปิดดู และวิเคราะห์ log ที่ถูกเก็บสำรองไว้ คุณสามารถใช้ Event Viewer ได้ แต่ต้องทำแบบแมนนวลโดยนำเข้า log ที่ถูก archive ทีละไฟล์ 

ทางเลือกที่ดีกว่าคือใช้เครื่องมือเช่น ADAudit Plus จาก ManageEngine เครื่องมือนี้เป็นทางออกที่เหมาะสมสำหรับการจัดการกับ log ที่ถูกเก็บไว้ ADAudit Plus รองรับการเก็บ security log แบบเรียลไทม์จาก domain controller ทุกตัวในระบบของคุณ ADAudit Plus ยังมีระบบรายงานและวิเคราะห์ log ที่ครอบคลุมอีกด้วย คุณสามารถอ่านเพิ่มเติมเกี่ยวกับความสามารถในการตรวจสอบแบบเรียลไทม์ของ ADAudit Plus ได้