Nach der Installation des Audit Collection Service und konfigurieren des enstprechenden Operation Manager Agenten sammelt der Audit Collector alle Ereignisse der konfigurierten Server. Je nach dem wie viel Speicherplatz für die Audit Collector Datenbank reserviert und wie der Dienst konfiguriert wurde kann die Datenbank sehr schnell an ihre Grenzen gelangen.
Um die Art und Masse der gesammelten Daten zu kontrollieren ohne die Anzahl der Audit Ereignisse des darunterliegenden Windows zu reduzieren gibt es unterschiedliche Möglichkeiten. Zum einen kann die Aufbewahrungszeit der gesammelten Daten reduziert werden (Retention Time) zum anderen besteht die Möglichkeit die zu sammelden Daten zu Filtern. Die Aufbewahrungszeit beträgt 60 Tage sofern bei der Installation nichts anderes angegeben wurde.
Nach der Installation kann die Aufbewahrungszeit über ein SQL Kommando geändert werden. Diesen Vorgang habe ich in einem extra Beitrag beschrieben.
Eine weitere Möglichkeit besteht darin die Ereignisse vor dem Einsammeln zu Filtern. Um dies zu tun muss man sich auf die Kommandozeile begeben und das utility „adtadmin“ ausführen:
adtadmin -setquery -collector:“Collector Name“ /query:“SELECT * FROM AdtsEvent WHERE NOT ((HeaderUser=’SYSTEM‘ OR HeaderUser=’LOCAL SERVICE‘ OR HeaderUser=’NETWORK SERVICE‘) OR (EventId=538 OR EventId=566 OR EventId=672 OR EventId=680 OR (EventId>=541 AND EventId<=547)))“
Im Parameter „/query“ wird dann eine ensprechende Abfrage hinterlegt.