![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
14 perguntas
Esta resposta foi traduzida automaticamente. Como resultado, pode haver erros gramaticais ou palavras estranhas.
Olá Marcos Vinicius Bernardo do Nascimento,
Obrigado por postar nos Fóruns da Comunidade da Microsoft.
Aqui estão alguns passos e sugestões:
- Configurar a política de auditoria do Windows
As políticas de auditoria do Windows podem registrar eventos como acesso, criação e exclusão de arquivos e pastas. Você pode configurar essas políticas por meio da política de segurança local (secpol.msc) ou da política de grupo (gpedit.msc).
Passos:
Abra a Diretiva de Segurança Local (secpol.msc) ou o Editor de Diretiva de Grupo (gpedit.msc).
Navegue até Configurações de segurança > Políticas locais > Políticas de auditoria.
Habilite as seguintes políticas (escolha de acordo com suas necessidades):
Auditar o acesso ao objeto
Auditar sistema de arquivos
Auditar o acesso ao serviço de diretório (se aplicável)
Configure políticas para registrar tentativas de acesso bem-sucedidas e com falha.
- Configure o Sysmon para capturar eventos do sistema de arquivos
O Sysmon é uma ferramenta de monitoramento e registro do sistema Windows desenvolvida pela equipe Sysinternals da Microsoft. Ele pode ser configurado com um arquivo XML para especificar os tipos de eventos a serem monitorados.
Passos:
Crie um arquivo de configuração do Sysmon (.xml) e defina os eventos do sistema de arquivos a serem monitorados.
Por exemplo, o Sysmon pode ser configurado para monitorar eventos como criação, exclusão, modificação de arquivos, etc.
Instale o arquivo de configuração usando a ferramenta de linha de comando do Sysmon: sysmon.exe -i your_config_file.xml
Configure o Sysmon para gravar eventos no log de eventos do Windows para encaminhamento subsequente.
- Configurar o encaminhamento de eventos do Windows
O recurso Encaminhamento de Eventos do Windows permite que você envie logs de eventos de um computador de origem para um computador de destino (nesse caso, um servidor syslog). No entanto, o Encaminhamento de Eventos do Windows não oferece suporte ao envio de eventos diretamente para um servidor syslog por padrão. Você precisa de uma etapa intermediária ou use um agente que suporte syslog.
Opções:
Use nxlog: nxlog é um coletor de log de software livre que dá suporte à coleta de dados do Log de Eventos do Windows e ao encaminhamento para um servidor syslog.
Usar o WEC (Coletor de Eventos do Windows): se o servidor syslog der suporte ao WEC (por exemplo, usando o serviço WEC no Windows Server), os eventos poderão ser encaminhados diretamente para esse servidor. Observe, no entanto, que isso geralmente não é diretamente equivalente ao protocolo syslog.
Use a versão do Windows do rsyslog ou syslog-ng: essas ferramentas têm versões disponíveis para Windows e dão suporte ao encaminhamento de logs de eventos do Windows para um servidor syslog.
Atenciosamente
Neuvi