Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

0
5429
Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน
Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

ไปเจอ KB ที่ตัวเองเขียนมาจากเวปอื่น ดีเลยครับ จะได้เอามา Post ทิ้งไว้ที่นี่บ้าง

ติดตามถามตอบปัญหาเพิ่มเติมกับผู้เชี่ยวชาญ Microsoft Platform ได้ที่ http://www.mvpskill.com/forums

สามารถสมัครสมาชิกโดยใช้ Login ผ่าน Facebook Account ได้เลยครับ

 

สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง

บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้คุณสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! !

หมายเหตุ * * *

1. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม

2. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างใด

หลักการในการทำงานของ Solution ผมคือ

1. สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ

2. ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ

3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา

4. (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ

มาเริ่มกันเลยดีกว่า (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบ)

1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้

หาก Server เป็น Domain Controller ให้เปิด Domain controller Security

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

2. หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

หน้าจอ Audit Policy สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

3. สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)

วิธีทำ

– พิมพ์ command ที่ Run >> regedit

– ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog คลิ๊กที่ subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.

– ด้านขวามือหาคำว่า File

– แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)

– ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง

– สั่งรีสตาร์ทเครื่องเพื่อให้มีผล

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

5. หลังจากนั้นให้รีสตาร์ทเครื่องอีกครั้ง

6. จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ

*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะ) ตามรูป

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

Logs

เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ

ลองทำดูง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียงแล้ว

7. เพิ่มเติม หลังจากการตีความ พรบ ว่า Logs ไฟล์นั้น Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิด โดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน

Windows Server Event Log การปรับแต่งให้ถูกตาม พรบ. ครบ 90 วัน