4/30/2552

Windows Server: Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท

Windows Server: Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท


สวัสดีครับ ห่างหายไปนานเลยเรื่องบทความ พอดีไปเรียนมาครับ ติดงานเยอะด้วย ตอนนี้พอจะว่าง จะรีบ ๆ ปั่นบทความมาแจกกันอ่านให้เยอะ ๆ นะครับ เป็นกำลังใจให้ด้วยละกันครับผม

สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง

บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้เราสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ผมทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! ! ครับผม

หมายเหตุ * * 1. โปรดพิจารณาในการเอาไปใช้ นะครับ บทความนี้เกิดจากประสบการณ์ของผมคนเดียว
2. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม
3. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างได

หลักการในการทำงานของ Solution ผมคือ

1 สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ
2 ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ
3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา
4 (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ

มาเริ่มกันเลยดีกว่าครับ (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบครับ)

1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้

หาก Server เป็น Domain Controller ให้เปิด Domain controller Security




หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป




หน้าจอ Audit Policy สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง




สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)

วิธีทำ

- พิมพ์ command ที่ Run >> regedit,
- ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
คลิ๊กที่ subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.
- ด้านขวามือหาคำว่า File
- แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)
- ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง
- สั่งรีสตาร์ทเครื่องเพื่อให้มีผล




4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1 ครับ



5.หลังจากนั้นให้รีสตาร์ทเครื่องอีกทีครับ

6.จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ

*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะครับ) ตามรูปครับตามรูป






เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วครับว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ

ลองทำดูครับง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ครับไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียง เพียงพอแล้วขอรับ


มีข้อสงสัยเพิ่มเติม ติติงกันได้นะครับผม ขอบคุณครับ กำลังทะยอยเขียนอีก version นึงครับ รอสักครู่



7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs ไฟล์นั้น Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร


1 ความคิดเห็น: