Бизнес-причина для аналитика

276
JavaScripter007

Один из наших аналитиков по ИТ-безопасности находится в декретном отпуске

Она стерла журналы Windows Event Viewer с ПК. Прежде чем встретиться с ней, мы хотели выяснить, есть ли деловая причина для удаления этих журналов событий.

Я не специалист по информационным технологиям, поэтому я не уверен, но мы хотим убедиться, что мы дадим ей хороший шанс объяснить ее действия, когда она вернется на работу.

-4
Откуда вы знаете, что это лицо стерло журналы событий, есть ли событие, которое происходит? Ramhound 5 лет назад 4
Да, есть событие, указывающее, что она стерла логи. JavaScripter007 5 лет назад 0
Что именно было зарегистрировано? Ramhound 5 лет назад 1
Просто чтобы добавить. * Время * этого - исходя из вашего вопроса, подозрительно. Будьте * очень * осторожны в том, что вы делаете - если вы пытаетесь уволить кого-то в декретный отпуск и пытаетесь найти причины по факту, это довольно незаконно во многих юрисдикциях. Journeyman Geek 5 лет назад 6

2 ответа на вопрос

7
Ramhound

Она стерла журналы Windows Event Viewer с ПК.

В типичной корпоративной установке журналы событий архивируются по размеру, что создает архивный файл. Поэтому, прежде чем с кем-то столкнуться, о чем-то, о чем, как вы признаете, вам мало что известно, вы можете проверить конфигурацию машины. Эта же функциональность может вращать журналы, поэтому архив НЕ создается, что означает, что более старые события в конечном итоге будут перезаписаны более поздними действиями.

Я не специалист по информационным технологиям, поэтому я не уверен, но мы хотим убедиться, что мы дадим ей хороший шанс объяснить ее действия, когда она вернется на работу.

Основываясь только на этом утверждении, вы не должны вступать в противоречие с рассматриваемым аналитиком по безопасности, потому что кажется, что вы не знакомы с тем, как на самом деле настроена система. Как сам администратор, если бы ко мне приходил кто-то, кто, по его собственным словам, называл себя «не специалистом по ИТ», я бы немедленно обратился к их менеджеру и убедился, что он дисциплинирован.

Если бы ко мне пришел другой администратор, я объяснил бы свои действия и продолжил бы свою жизнь. Как администратор, существует множество ситуаций, когда очистка зарегистрированных событий была бы приемлемым поведением.

@JavaScripter007 - No; There are far to many to provide a list, the situations I can think of, would be far specific to the network I am an Administrator of. The list wouldn’t be helpful to anyone outside of my organization. I won’t speculate what reasons this Administrator had to clear the events in question. Ramhound 5 лет назад 4
Вы даже не можете предоставить 1 или 2 причины? @Ramhound JavaScripter007 5 лет назад 0
@ JavaScripter007 Журнал событий был поврежден, и до тех пор, пока я не очистил его, больше событий не регистрировалось. Twisty Impersonator 5 лет назад 1
@JavaScripter007 - Can I provide 1 or 2 reasons, I absolutely could provide them. I have answered your question, as it’s written, and won’t be providing those reasons. I also won’t be returning to this question. Ramhound 5 лет назад 2
-1
K7AAY

Ряд различных «чистящих» приложений предлагает удалить их, чтобы сэкономить место. Возможно, она установила один из них, чтобы решить другую проблему, и не понимала, что такое приложение должно очищать журналы.

Это грубая спекуляция. Спрашивающий признает, что очень мало знает об ИТ, поэтому маловероятно, что он провел исследование или расследование, чтобы определить, стирал ли кто-нибудь журналы вообще или это была системная настройка, такая как вращение журналов. Nasir Riley 5 лет назад 4

Похожие вопросы