Один из наших аналитиков по ИТ-безопасности находится в декретном отпуске
Она стерла журналы Windows Event Viewer с ПК. Прежде чем встретиться с ней, мы хотели выяснить, есть ли деловая причина для удаления этих журналов событий.
Я не специалист по информационным технологиям, поэтому я не уверен, но мы хотим убедиться, что мы дадим ей хороший шанс объяснить ее действия, когда она вернется на работу.
Она стерла журналы Windows Event Viewer с ПК.
В типичной корпоративной установке журналы событий архивируются по размеру, что создает архивный файл. Поэтому, прежде чем с кем-то столкнуться, о чем-то, о чем, как вы признаете, вам мало что известно, вы можете проверить конфигурацию машины. Эта же функциональность может вращать журналы, поэтому архив НЕ создается, что означает, что более старые события в конечном итоге будут перезаписаны более поздними действиями.
Я не специалист по информационным технологиям, поэтому я не уверен, но мы хотим убедиться, что мы дадим ей хороший шанс объяснить ее действия, когда она вернется на работу.
Основываясь только на этом утверждении, вы не должны вступать в противоречие с рассматриваемым аналитиком по безопасности, потому что кажется, что вы не знакомы с тем, как на самом деле настроена система. Как сам администратор, если бы ко мне приходил кто-то, кто, по его собственным словам, называл себя "не специалистом по ИТ", я бы немедленно обратился к их менеджеру и убедился, что он дисциплинирован.
Если бы ко мне пришел другой администратор, я объяснил бы свои действия и продолжил бы свою жизнь. Как администратор, существует множество ситуаций, когда очистка зарегистрированных событий была бы приемлемым поведением.
Ряд различных «чистящих» приложений предлагает удалить их, чтобы сэкономить место. Возможно, она установила один из них, чтобы решить другую проблему, и не понимала, что такое приложение должно очищать журналы.
