Understand the filter principles

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > Installieren und Konfigurieren > Scans und Logga konfigurieren > Active Directory (AD) Logga konfigurieren > Eine AD Logga Konfiguration anpassen > AD Logga Ereignisse filtern >

Understand the filter principles

Der AD Logga Filter ist als Blacklist-Filter konzipiert. Blacklist bedeutet hier: Der AD Logga zeichnet mit maximalem Umfang auf. Sie legen fest, welche Ereignisse nicht aufgezeichnet - also verworfen - werden.

Standardmäßig ist ein Filter auf die zwei Objektklassen "Service-Connection-Point" und "Print-Queue" gesetzt.

 

Die Filter-Kriterien arbeiten additiv. Ein Ereignis wird verworfen, wenn Kriterium 1 oder Kriterium 2 oder Kriterium 3 zutrifft, oder auch mehrere Kriterien gleichzeitig.

 

Die Filter-Kriterien stehen in keiner Korrelation zueinander. Die Ereignisse werden vom AD Logga nacheinander bezüglich der Kriterien bewertet. Bei einem Treffer wird das Ereignis sofort verworfen und nicht weiter überprüft, unabhängig davon, ob ein anderes Kriterium schon bewertet wurde oder nicht.

 

Beispiele:

Ist Benutzer A als Filter konfiguriert, dann werden alle von ihm im AD vorgenommen Änderungen verworfen, auch wenn die von ihm geänderte Objektklasse oder das geänderte Attribut nicht als Filter konfiguriert sind. Änderungen, die Benutzer A selbst betreffen, werden weiterhin aufgezeichnet.

 

Ist Objektklasse X als Filter konfiguriert, dann werden alle Ereignisse, die explizit diese Objektklasse enthalten, verworfen, auch wenn der Ereignis-Autor oder das geänderte Attribut nicht als Filter konfiguriert sind. Analog gilt dies auch für den Attribut-Filter.

 

Hinweis:

Nicht alle Security-Log Ereignisse enthalten die betroffene Objektklasse oder das betroffene Attribut. So werden z.B. Mitgliedschaftsänderungen nicht verworfen, selbst wenn die Objektklassen „User“ und „Group“ und das Attribut „Member“ als Filter konfiguriert sind.