win2k + mssql2k + php =bolbol event log info

[Ragnar]

win2k serverda mssql e php tarafından login olununca system event log da durmadan information olarak hangi userın login olduğunu söylüyor .

haliyle 1 saatte event log full leniyor.
varmıdır bu login in evet logda çıkmasını engellemek için bir method

[GE-TA]

policy'lerden ilişkili audit policy'i bulup devre dışı bırak. ya da failure'da kayıt tutmasını sağla ki sorun yakalamak ya da zaman tespiti için işine yarıyabilir. yani tamamen devre dışı bırakmak pek o kadar iyi değil. administrative tools'un altında policy ayarları.

edit: local securtiy policy'ler administrative tools'un altında. 2k server'de server managementin altından alakalı policy'lere erişebilirsin.

[ Mesaj 14 Şubat 2006, Salı - 11:35 tarihinde, GE-TA tarafından güncellenmiştir]

[Ragnar]

sağolasın geta policylere dün akşam baya baktım ama göremedim demekki dikkat etmedim , takrar bakıyım.

zaten niyetim sadece type info olan mssql loglamasını durdurmak bildiğim kadarı ile info larda hata tarzında içerik mesajları geçmiyor yanılıyorsam o nedenle bir kaybım olmayacağını düşünmüştüm ?

[Ragnar]

şimdi baktımda orda istediğim tarzda bir policiy yok sadece type info olanları kapat tarzında.

bu sebepten ötürü 1 saatte event log fulleniyor ya overwrite yapıcak yada log size'ı büyütmekten başka çağre aklıma gelmiyor.

[ Mesaj 14 Şubat 2006, Salı - 11:52 tarihinde, Ragnar tarafından güncellenmiştir]

[GE-TA]

event log'a kayıt atıldığına göre mutlaka vardır bir policy onu yazdıran ama bulamadıysan overwrite yapsın nolcek :). şişirme boşuna event log'un kapasitesini.

[Mum_Chamber]

event loga her saatte overwrite demek bir saatten eski logu tutamamak demek, ki bu da cok onemli bir kayip.

hkey_local_machinesoftwaremicrosoftmssqlservermssqlserver adresindeki auditlevel kaydini

0 hicbiri
1 basarili
2 basarisiz
3 hepsi

olarak degistirebilirsin.

ayni degisiklik enterprise managerdan da yapilabilir.
sql server properties _> security sekmesi _> audit level

bazi bolumler iskembeden sallama olabilir. bilgisayarimdan ikibin kusur kilometre uzaktayim :d afbuyurun.

edit: ucgen koseli parantezlerin onune cizgi eklenmesi cok sacma olmus ve amacini anlayamadim. her neyse..

[ Mesaj 14 Şubat 2006, Salı - 21:42 tarihinde, Mum_Chamber tarafından güncellenmiştir]

[GE-TA]

mum_chamber çok haklı, ben sanki tekil bir event'e overwrite yaptırılabilir gibi düşündüm ki böyle birşey de yok (oha ge-ta), haliyle tüm audit'e overwrite yapman gerekecek, bu çok tehlikeli. çünki tek bir policy değil tüm audit policy logları etkilenecek bundan. gerçi overwrite süresi de değiştirilebiliyor, 1 saat kısıtlaması yok ama yine de risk.

mum_chamber'a ek olarak event viewer'dan da audit'in özelliklerine gelip filtreler kısmından da hangi logların tutulacağını tercih yapabilme şansın var. (none fail success all gibi)

[Mum_Chamber]

e harbiden öha ge-ta :)

ama boyle dalginliklar oluyor :) cok basit bir stored procedure'u calistirmak icin yarim saat ugrastigimi bilirim.

[spo id=2155136]
biri- ya n'aapiyosun sen?
ben- bilgisayar sapitti, proseduru yazdim ama calistirmiyo yarim saattir
biri- nasi calistirmiyo
ben- basbayaaaa yaa
biri- dur bir bakiyim.. (bakar) ben anlamadim, bu parantezler ne?
ben- (jeton duser) ohaaaaaaaaaaaaaaaaaa
biri- allah belani vermesin emi! olm sen git c# kodu yaz
ben- ekieki

ekranda: exec prosedurum(param1, param2)
[/spo]

[Ragnar]

öncelikle yardımlarınızdan dolayı çok teşekkür ederim

açıkladığınız yöntemlerden bana en mantıklı geleni (benim için ) sql serverın audit level'ını sadece failure yapmak zaten benim derdim successlerle :) sonuçta dediğniz gibi overwrite olduğu zaman daha önemli olan başka işlem hatalarını kaçırma ihtimali fazla olacak , özellikle tik oldu her login olduğumda ilk iş evet leri okuyan biri olarak bana sorun yaratacaktır.

cidden çok sağolun :)