Motivo commerciale di un analista [chiuso]

-4

Uno dei nostri analisti della sicurezza IT è in congedo di maternità

Aveva cancellato i log di Windows Event Viewer da un PC. Prima di affrontarla, volevamo scoprire se esiste qualche motivo commerciale per cancellare questi registri eventi.

Non sono una persona IT, quindi non ne sono sicuro, ma vogliamo assicurarci di darle una buona possibilità di spiegare le sue azioni quando tornerà al lavoro.

windows  events 
JavaScripter007
fonte
4
Come fai a sapere che questa persona ha cancellato i registri degli eventi, c'è un evento che sta accadendo?
Ramhound,
Sì, c'è un evento che indica che ha cancellato i registri.
JavaScripter007,
1
Cosa è stato registrato esattamente?
Ramhound,
6
Solo per aggiungere. Il tempismo di questo - basato sulla tua domanda è sospetto. Essere molto attenti a quello che fate - se si sta cercando di licenziare qualcuno in congedo di maternità e stanno cercando di trovare motivazioni dopo il fatto, la sua bella illegale in molte giurisdizioni.
Journeyman Geek

Risposte:

7

Aveva cancellato i log di Windows Event Viewer da un PC.

In una tipica configurazione aziendale, i log degli eventi sono archiviati per dimensione, il che crea un file di archivio. Quindi, prima di confrontarti con qualcuno, di qualcosa che ammetti di cui sai molto poco, potresti voler controllare la configurazione della macchina. Questa stessa funzionalità può ruotare i log, quindi NON viene creato un archivio, il che significa che gli eventi più vecchi potrebbero essere sovrascritti da attività più recenti.

Non sono una persona IT, quindi non ne sono sicuro, ma vogliamo assicurarci di darle una buona possibilità di spiegare le sue azioni quando tornerà al lavoro.

Basandoti solo su questa affermazione, non dovresti confrontarti con l'analista della sicurezza in questione, perché sembra che tu non abbia familiarità con la configurazione effettiva del sistema. Come amministratore, se qualcuno venisse da me che, con le sue stesse parole, si descrivesse come "non una persona IT", andrei immediatamente dal suo manager e assicurerei che siano disciplinati.

Se un altro amministratore venisse da me, spiegherei le mie azioni e andrei avanti con la mia vita. Come amministratore, ci sono numerose situazioni in cui ripulire gli eventi che sono stati registrati sarebbe un comportamento accettabile.

Ramhound
fonte
4
@ JavaScripter007 - No; Ci sono molti a cui fornire un elenco, le situazioni a cui riesco a pensare, sarebbero molto specifiche per la rete di cui sono un amministratore. L'elenco non sarebbe utile a nessuno al di fuori della mia organizzazione. Non speculerò su quali ragioni l'amministratore abbia dovuto cancellare gli eventi in questione.
Ramhound,
Non riesci nemmeno a fornire 1 o 2 motivi? @Ramhound
JavaScripter007,
1
@ JavaScripter007 Il registro eventi è stato danneggiato e fino a quando non l'ho cancellato non verrebbero registrati più eventi.
Twisty Impersonator,
2
@ JavaScripter007 - Posso fornire 1 o 2 motivi, potrei assolutamente fornirli. Ho risposto alla tua domanda, così come è stata scritta, e non fornirò tali motivi. Inoltre non tornerò a questa domanda.
Ramhound,
-1

Diverse app di "pulizia" diverse suggeriscono di eliminarle per risparmiare spazio. Potrebbe aver installato uno di quelli per risolvere un problema diverso e non comprendere le implicazioni di lasciare che un'app di questo tipo ripulisca i registri.

K7AAY
fonte
4
Questa è una speculazione grossolana. L'interrogante ammette di sapere ben poco dell'IT, quindi è altamente improbabile che abbia condotto una ricerca o un'indagine per determinare se qualcuno ha cancellato i registri o se si trattava di un'impostazione di sistema come la rotazione dei registri.
Nasir Riley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.