我正在进行
Windows事件ID 5136(“目录服务对象被修改”)的输出分析,更具体地说是“LDAP显示名称= nTSecurityDescriptor”(
see following event 5136 capture)的事件.
在“值”字段中,我有一个列表,其中包含对象本身更改的所有安全权限,这很棒.但是,在尝试比较2x相关事件及其各自的“值”字段时,我注意到以下问题:
>字符数始终为5120(4096 1024)
>位于最后一行的文本总是被截断,并且没有以正确的字符结束 – 最后应该是“)”
(see folllwing text output).
有关活动的信息:
>源主机是Windows Server 2012 R2 DC(最新)
>对于此特定输出分析,日志直接从源计算机本身提取(因此没有WEF,NXlog代理,SYSLOG,ELK,SIEM,……)
>使用PowerShell,事件控制台(常规选项卡)或事件控制台(详细信息/ XML视图)查看事件提供相同的输出
所以我在Windows事件(而不是事件日志文件本身)中寻找了一些值大小限制,但只是在“community embarcadero”和“developpez”网站上找到了一些信息.
Question: does someone know if there is any limitation for a Windows
logs value field to 5120 Bytes and a way to increase it ? I need both
to make a diff between and report the changes. Thanks
事件中的消息由
EvtFormatMessage函数呈现.据我记得,这里有大约32k字符的限制,所以这不应该导致截断.这通过由事件id标识的格式字符串和与事件一起存储的一组值来工作.值:%piece就是这样.用于写入此值的
EVENTDATA_DESCRIPTOR结构也可以存储更大的数据.
我敢打赌,事件提供者有一个内部限制(5120).这背后的原因可能是由于EVENTDATA_DESCRIPTOR文档中提到的限制:
Note that the total data size of the event (not just this data item) is the lesser of 64 KB
您的活动有12个值,如果它们对每个值使用相同的限制,那么它会下降到大约5kb.也许您可以向Microsoft提交错误报告.