A figyelés hatókörének szerkesztése
A Fájlintegritás-figyelő nem működik a figyelés hatókörének meghatározása nélkül. Ez azt jelenti, hogy meg kell adnia azon fájlok és mappák elérési útját, amelyek módosításait a Fájlintegritás-figyelő felügyelni fogja. Javasoljuk, hogy olyan objektumokat adjon meg, amelyeket ritkán módosítanak, vagy amelyekhez kizárólag a rendszergazdának van hozzáférése. Ezzel csökkentheti a Fájlintegritás-figyelő eseményeinek számát.
Az események számának csökkentése érdekében kizárásokat is hozzáadhat a megfigyelési szabályokhoz. A kizárási bejegyzések prioritása magasabb, mint a figyelési hatókör bejegyzéseinek. Előfordulhat például, hogy a szervezet egy olyan alkalmazást használ, amelynek a fájlintegritását meg szeretné figyelni. Ehhez hozzá kell adnia az alkalmazást tartalmazó mappához az elérési utat (például C:\Users\Testadmin\Desktop\Utilities
). A naplófájlokat kizárhatja a figyelési szabályból, mert ezek a fájlok nincsenek hatással a rendszer biztonságára. Ezen felül az alkalmazás folyamatosan módosítja a naplófájlokat, amely nagyon sok hasonló esemény rögzítéséhez vezet. Ennek elkerüléséhez adja hozzá a naplófájlokat a kivételekhez (pl. C:\Users\Testadmin\Desktop\Utilities\*.log
).
Figyelés hatókörének szerkesztése az Adminisztrációs Konzolban (MMC)