Control Event Loggen Behavior Wanneer De Loggen File Reaches Its Maximum Size Is Set To Disabled

Wanneer logboeken afhankelijk zijn van automatische overschrijving kan een aanvaller kritieke gebeurtenissen wegdrukken, terwijl organisaties zonder volledige registraties ook niet kunnen aantonen dat zij voldoen aan de BIO en AVG. Door een strikt beleid voor logboekgroei af te dwingen behouden securityteams continu inzicht in systeemgedrag en kunnen zij incidenten achteraf reconstrueren.

Implementatie

De instelling "Control event log behavior when the log file reaches its maximum size" wordt via een Intune-configuratieprofiel, compliancebeleid of een ingestelde remedie-script gedwongen op Disabled, zodat logboeken nooit automatisch worden gewist maar in plaats daarvan een beheerproces voor archivering of capaciteitsuitbreiding wordt geactiveerd.

Vereisten

Het configureren van deze controle vergt allereerst een volwassen Microsoft Intune-omgeving die gekoppeld is aan Azure AD en waarin Windows 10 en 11 endpoints hybrid of cloud native worden gemanaged. Er is minimaal een Intune Suite- of Enterprise Mobility + Security E3-licentie nodig om geavanceerde apparaatinstellingen te pushen en de resultaten terug te rapporteren. Daarnaast moet de organisatie beschikken over een Log Analytics-werkruimte of een vergelijkbaar opslagplatform voor gearchiveerde eventlogs, zodat groeiende logboeken daadwerkelijk kunnen worden opgeslagen. Zonder die opslagstrategie zou het afdwingen van Disabled bij de rollover-instelling immers leiden tot foutmeldingen en uitval omdat het logboek vol raakt. Ten slotte is een actueel wijzigingsproces vereist waarin Intune-profielen worden goedgekeurd, getest in een representatieve ring en pas daarna naar productie worden uitgerold.

Naast technische componenten zijn er organisatorische randvoorwaarden. Beveiligings- en operations-teams moeten beschikken over duidelijke rolafspraken: Intune-beheerders stellen het beleid in, beheerders van het Windows Event Forwarding-platform bewaken de opslagcapaciteit en functioneel verantwoordelijken toetsen de retentie-eisen vanuit wet- en regelgeving. Documentatie beschrijft hoe de instelling past binnen de bredere loggingstrategie, welke uitzonderingen mogelijk zijn en hoe noodscenario’s worden afgehandeld wanneer een systeem toch ruimtegebrek meldt. Ook moet er tooling aanwezig zijn om endpoints vooraf te inventariseren op schijfruimte, want oudere devices met beperkte opslag krijgen anders te maken met logboeken die niet meer kunnen groeien. Door deze technische en organisatorische voorwaarden samen in te richten, ontstaat een stabiele basis voor een beleid waarin logboeken nooit stilvallen en audits altijd een volledig spoor vinden.

Verder moeten teams toegang hebben tot actuele kennis over Windows-eventlogging en de achterliggende beveiligingsprincipes. Dat betekent dat systeembeheerders, SOC-analisten en compliance officers periodiek worden bijgeschoold over het belang van immutabele logging, de werking van de Windows Logging Service en de manier waarop logrotatie standaard plaatsvindt. Alleen wanneer alle betrokkenen begrijpen waarom de instelling op Disabled staat, zullen zij eventuele lokale wijzigingen vermijden en afwijkingen serieus nemen. Ook leveranciers en outsourcingpartners dienen in contracten te hebben staan dat zij geen veranderingen mogen aanbrengen in de loggingconfiguratie zonder goedkeuring van de eigenaar van de Nederlandse Baseline voor Veilige Cloud. Tot slot zijn heldere communicatiekanalen nodig: change notifications over nieuwe Intune-profielen, incidentupdates bij capaciteitstekorten en wekelijkse statusrapportages over de mate van naleving. Door deze kennis-, contract- en communicatievereisten vast te leggen, blijft de maatregel niet hangen op papieren beleid, maar wordt zij verankerd in de dagelijkse praktijk van alle stakeholders.

Tot slot moet de organisatie vooraf bepalen welke dataclassificaties in welk logboek terechtkomen, zodat duidelijk is welke aanvullende privacymaatregelen nodig zijn wanneer de logboeken niet automatisch worden overschreven. Sensitieve logs met persoonsgegevens kunnen bijvoorbeeld extra pseudonimiseringsstappen vereisen of een verkorte retentieperiode terwijl technische logs een langere bewaartermijn hebben. Deze keuzes worden vastgelegd in het securitybeleid, afgestemd met de functionaris gegevensbescherming en gedeeld met de beheerketen. Ook is het verstandig om al bij de voorbereidingsfase budget te reserveren voor uitbreiding van opslag en licenties; zonder financiële dekking strandt de maatregel zodra er extra capaciteit nodig is. Door functionele, juridische en financiële voorwaarden integraal in kaart te brengen, wordt het traject voorspelbaar en kunnen bestuurders aantonen dat zij regie voeren over de vereisten van de Nederlandse Baseline voor Veilige Cloud.

Implementatie

De implementatie start met een inhoudelijke analyse van de bestaande eventlogconfiguratie in de Windows Security baselines en eventuele lokale groepsbeleidssjablonen. Documenteer welke logboeken (Application, System, Security en custom kanalen) het meest kritisch zijn en welke huidige maximale groottes zij hanteren. Vervolgens wordt een Intune device configuration profile op basis van het "Settings Catalog"-type aangemaakt. Binnen de categorie System > Event Log Service wordt de instelling "Control Event Log behavior when maximum size is reached" voor elk relevant logboek op Disabled gezet, waardoor Windows stopt met automatisch overschrijven. Koppel het profiel aan een gefaseerde doelgroeproutering: eerst een kleine pilot met representatieve endpoints, daarna een bredere validatiering en tot slot de volledige productiepopulatie. Iedere ring krijgt duidelijke succescriteria, bijvoorbeeld het uitblijven van foutieve events 1105 of 1100 in het System-log die wijzen op mislukte logboekrotatie.

Parallel aan de configuratie in Intune moet het operations-team de opslagketen optimaliseren. Dat betekent dat Windows Event Forwarding of Azure Monitor Agent alle relevante logboeken continu doorstuurt naar een centrale werkruimte, waar retentie- en lifecyclebeheer is ingericht. Automatiseringsscripts controleren dagelijks de resterende logboekruimte en valideren dat de instelling Disabled daadwerkelijk is toegepast door de registry-waarde "Retention" op nul te zetten. Eventuele uitzonderingen, zoals systemen die tijdelijk lokaal mogen overschrijven vanwege beperkte verbindingen, worden strikt gedocumenteerd met een duidelijke einddatum. Door deze stappen nauwkeurig en in samenspraak tussen security, operations en compliance uit te voeren, ontstaat een robuuste implementatie die het risico op logverlies drastisch vermindert.

Wanneer het basisprofiel staat, wordt de implementatie verdiept met integraties richting change- en configuratiebeheer. Registreer de policy-id in het CMDB-item van iedere beheerde werklast zodat bij onderhoud of vervanging automatisch wordt gecontroleerd of de Disabled-instelling behouden blijft. Richt een DevOps-pipeline in die het Intune-profiel exporteert, versieert in Git en automatisch test tegen het schema van de Nederlandse Baseline voor Veilige Cloud. Hierdoor kunnen teams wijzigingen simuleren in een sandbox en valideren met lokale debuginstellingen van het meegeleverde PowerShell-script. Pas na succesvolle tests worden de instellingen via staged deployments (zoals autopilot dynamic groups of filters op Windows-build) in productie gebracht. Door implementatie te zien als een continu proces waarin documentatie, versiebeheer en geautomatiseerde validatie hand in hand gaan, wordt de maatregel toekomstbestendig en eenvoudig reproduceerbaar bij grote uitrol- of herstelacties.

Vergeet tijdens de uitrol niet om fallbackscenario’s te ontwerpen voor het geval endpoints tijdelijk geen verbinding hebben met Intune. Hiervoor kan een configuratiepakket worden gemaakt in Microsoft Configuration Manager of een lokaal script dat tijdens buildfasen wordt uitgevoerd om de Disabled-instelling alvast voor te bereiden. Zodra het apparaat weer in Intune verschijnt, wordt de instelling bevestigd en wordt het resultaat gerapporteerd aan de beheerders. Dit biedt extra zekerheid voor werkplekken in geïsoleerde netwerken of mobiele apparaten met onstabiele connectiviteit. Door runbooks, fallbackmethoden en duidelijke escalatiestappen in de implementatie op te nemen, ontstaat een veerkrachtige oplossing die ook onder moeilijke omstandigheden blijft voldoen aan de baseline.

Tot slot hoort bij de implementatie een communicatietraject richting eindgebruikers en lijnmanagers. Informeer hen dat logbestanden langer worden bewaard, licht toe welke privacymaatregelen zijn genomen en benadruk dat de maatregel bedoeld is om hun werk continuïteit en integriteit te beschermen. Transparante communicatie voorkomt weerstand en versterkt het vertrouwen dat beveiligingsmaatregelen proportioneel zijn.

Gebruik PowerShell-script control-event-log-behavior-when-the-log-file-reaches-its-maximum-size-is-set-to-disabled.ps1 (functie Invoke-Monitoring) – Gebruik het script om via de Graph API de toegepaste configuratieprofielen, de ingestelde Retention-waarde en de rapportages per apparaat automatisch te valideren en de resultaten te exporteren naar het change-dossier..

monitoring

De controle op deze instelling draait om vroegtijdig signaleren dat logboeken vol raken of dat endpoints het Intune-profiel niet correct hebben toegepast. Start met het inrichten van een Kusto-query in de Log Analytics-werkruimte waarin alle Windows-eventlogs die een event ID 1105 (Log file is full) genereren, direct worden gemarkeerd. Combineer de output met Intune-compliancegegevens zodat zichtbaar is of de betreffende apparaten het beleid hebben ontvangen. Bouw dashboards die zowel operationele metrics (vrije logboekruimte, aantal events per uur) als compliance-indicatoren (percentage apparaten met Disabled actief) tonen. Door deze informatie te koppelen aan een notificatiekanaal zoals Microsoft Teams of een SIEM, worden afwijkingen automatisch gemeld aan het respons-team.

Naast technische monitoring is procesmatige bewaking cruciaal. Definieer service level indicators die beschrijven hoeveel minuten een logboek vol mag zijn voordat escalatie nodig is, en leg vast welke beheerder verantwoordelijk is voor opvolging. Analyseer maandelijks de trend van logboekgroottes om capaciteit uit te breiden voordat kritieke drempels worden bereikt. Documenteer iedere afwijking en de genomen acties in het auditdossier, zodat auditors kunnen zien dat Disabled daadwerkelijk leidt tot een beheerd archiefproces. Door monitoring zowel realtime als periodiek te organiseren, blijft de instelling effectief en kan men aantonen dat logboeken nooit ongemerkt verloren gaan.

Geavanceerde monitoring benut machine learning-functionaliteit in Sentinel of een andere SIEM-oplossing om afwijkende patronen te herkennen. Denk aan plotselinge pieken in logboekcreatie die kunnen wijzen op een aanval of misconfiguratie, of juist een onverwachte stilte die duidt op het stoppen van een service. Door historische data te koppelen aan seizoenspatronen (bijvoorbeeld patchdinsdag of maandelijkse financiële afsluiting) kan het systeem voorspellen wanneer logboeken extra snel groeien en vooraf capaciteit reserveren. Koppel de inzichten terug naar assetmanagement zodat bijvoorbeeld werkstations met intensieve CAD- of OT-software extra opslag of alternatieve logdoelen krijgen. Communiceer de monitoringresultaten wekelijks in een security operations-overleg waarin zowel technische bevindingen als governance-aspecten aan bod komen. Daarmee wordt monitoring niet alleen een technische controle, maar ook een managementrapportage waarmee bestuurders aantonen dat de Nederlandse Baseline voor Veilige Cloud actief wordt nageleefd.

Een volwassen monitoringsproces borgt ook de menselijke factoren. Operators krijgen duidelijke runbooks met beslisbomen waarin staat hoe zij moeten handelen bij waarschuwingen over volle logboeken, welke communicatielijnen richting incidentmanagement lopen en hoe zij escaleren naar het CISO-office. Elk kwartaal wordt het monitoringsontwerp getest via tabletop-oefeningen waarbij scenario’s worden nagebootst, zoals een aanvaller die probeert logboeken te wissen na het uitrollen van malware. De lessen uit deze oefeningen worden vertaald naar nieuwe detectieregels of capaciteitsuitbreidingen. Door technologie, processen en training samen te brengen, groeit de betrouwbaarheid van de monitoring en blijft de Disabled-instelling een levend onderdeel van de securityoperatie.

Leg alle monitoringsafspraken vast in een service level agreement tussen het SOC, hostingteams en applicatie-eigenaren. Beschrijf hoe snel meldingen moeten worden beoordeeld, welke rapportageformats worden gebruikt en hoe kennisdeling plaatsvindt met andere overheidsorganisaties binnen sectorale samenwerkingsverbanden. Dankzij zo'n gedeelde taal ontstaat inzicht in logboekgezondheid over de hele keten en kunnen signalen uit verschillende organisaties elkaar versterken bij grootschalige dreigingen.

Besteed daarbij expliciet aandacht aan kennisborging. Leg uit hoe nieuwe analisten toegang krijgen tot historische monitoringcases, welke dashboards als bron worden beschouwd en hoe men controleert dat queries na platformupdates nog correct functioneren. Door documentatie, training en tooling consistent te onderhouden, blijft monitoring actueel en krijgt de Disabled-instelling een langdurig effect.

Gebruik PowerShell-script control-event-log-behavior-when-the-log-file-reaches-its-maximum-size-is-set-to-disabled.ps1 (functie Invoke-Monitoring) – Plan het script in met lokale debugsettings zodat het dagelijks de status ophaalt, de logboekgroottes controleert en afwijkingen wegschrijft naar een controlerapport voor de security officer..

Remediatie

Wanneer monitoring aangeeft dat de instelling niet langer op Disabled staat of dat logboeken ondanks de instelling vol raken, moet een gestandaardiseerd herstelpad worden gevolgd. Dat begint met het isoleren van de betrokken apparaten, het ophalen van de meest recente Intune-policy status en het vergelijken van de registry-waarden onder HKLM\SYSTEM\CurrentControlSet\Services\Eventlog. Als de instelling onbedoeld is aangepast, wordt het relevante configuratieprofiel opnieuw toegewezen en wordt gecontroleerd of er geen conflicterende lokale GPO’s actief zijn. Tegelijkertijd wordt beoordeeld of logbestanden moeten worden gearchiveerd naar een veilige locatie voordat ruimte wordt vrijgemaakt. Herstelacties worden in een change ticket vastgelegd, inclusief de exacte tijdlijn, de betrokken medewerker en de verwijzing naar de monitoringmelding.

Indien het probleem ontstaat door onvoldoende opslagcapaciteit, activeert het team een opgeschaalde archiveringsprocedure. Dit kan betekenen dat er extra Azure Storage-capaciteit wordt geprovisioned, dat het retentiebeleid tijdelijk wordt verlengd zodat kopieën elders beschikbaar blijven en dat een forensische kopie van het volgelopen logboek wordt gemaakt voor analyse. Pas na het veiligstellen van de data mag het logboek worden opgeschoond en opnieuw worden gestart. Het script in deze controleselectie bevat een remediefunctie die met lokale debuginstellingen kan draaien om registrysleutels terug te zetten, services te herstarten en een samenvatting van de uitgevoerde stappen te rapporteren. Door herstelacties strak te standaardiseren, blijft de audittrail volledig en kunnen auditors achteraf exact nagaan welke maatregelen zijn genomen.

Elke remediatiecase eindigt met een rootcause-analyse waarin wordt vastgesteld waarom de Disabled-instelling niet gehandhaafd bleef. Soms blijkt een legacy image nog een oud lokale GPO te bevatten, een andere keer heeft een leverancier tijdens onderhoud een registerverandering doorgevoerd om tijdelijk ruimte te winnen. De analyse resulteert in structurele verbeteracties, zoals het opstellen van een hardening checklist voor nieuwe images, extra training voor leveranciers of het automatiseren van een dagelijkse compliance driftcontrole die afwijkingen meteen herstelt. Documenteer eveneens hoe de organisatie borgt dat loggegevens die tijdens het incident mogelijk zijn overschreven, alsnog worden gereconstrueerd via centrale opslag of endpoint-back-ups. Door iedere remediatie op deze manier af te sluiten, groeit de volwassenheid van het proces en wordt het steeds moeilijker voor een aanvaller om onopgemerkt aan de logging te morrelen.

Rapporteer elke remediatie tot slot aan de lijn- en ketenverantwoordelijken zodat zij kunnen beoordelen of aanvullende beleidsaanpassingen nodig zijn. Een kwartaalrapport met trends in afwijkingen, gemiddelde hersteltijd en impact op auditrapportages geeft bestuurders inzicht in de effectiviteit van het proces. Koppel die rapportage aan lessons learned uit incidenten, zodat verbeteringen zoals extra monitoringregels of aangepaste opslagafspraken daadwerkelijk worden uitgevoerd. Deze continue verbetercyclus maakt van remediatie geen ad-hoc activiteit maar een structureel onderdeel van de governance rondom gebeurtenissenlogging.

Neem in de herstelprocedure ook een juridische toets op. Wanneer logboeken tijdelijk onvolledig zijn, kan dit gevolgen hebben voor meldplichten richting de Autoriteit Persoonsgegevens of andere toezichthouders. Het remediatieteam moet dus weten wanneer de privacy officer of CISO moet worden geïnformeerd en welke communicatie richting betrokkenen of ketenpartners verplicht is. Zo blijft herstel niet beperkt tot techniek, maar wordt ook het vertrouwen van burgers en bestuurders geborgd.

Koppel remediatie tenslotte aan het bestaande servicebeheerproces. Iedere wijziging die nodig is om logboeken weer te laten groeien, zoals het aanpassen van opslagquota of het herstarten van kritieke services, wordt geregistreerd als standard change met duidelijke goedkeuringen en terugvalplannen. Hierdoor ontstaat herhaalbaarheid en kan een ander teamlid dezelfde stappen uitvoeren wanneer de primaire beheerder afwezig is.

Gebruik PowerShell-script control-event-log-behavior-when-the-log-file-reaches-its-maximum-size-is-set-to-disabled.ps1 (functie Invoke-Remediation) – Voer de remediefunctie uit met lokale debuginstellingen om registry-waarden te corrigeren, services gecontroleerd te herstarten en een gedetailleerd logbestand voor het auditdossier te genereren..

Compliance en Auditing

Deze controle ondersteunt rechtstreeks de BIO-paragraaf 16.01 en ISO 27001-controle A.12.4.1 doordat hij aantoont dat gebeurtenissenlogging niet afhankelijk is van gedrag dat logs wist zodra ze vol zijn. Voor auditors is het essentieel dat niet alleen het Intune-profiel beschikbaar is, maar ook het onderliggende besluitvormingsproces: welke dreigingsscenario’s zijn beoordeeld, welke retentie-eisen gelden vanuit de Archiefwet en welke rolverdeling is afgesproken voor beheer en toezicht. Leg in het auditdossier vast dat Disabled onderdeel is van de change calendar, dat er testresultaten zijn van de pilot en dat afwijkingen altijd binnen maximaal één werkdag worden gecorrigeerd. Voeg bovendien bewijzen toe van de opslagketen, zoals exporten uit Log Analytics en screenshots van dashboards waarop zichtbaar is dat logboeken via een gecontroleerd archiveringsproces lopen. Door die volledige documentatie paraat te hebben, kunnen auditors eenvoudig verifiëren dat de organisatie niet alleen een technische instelling afdwingt, maar ook een volwassen governanceproces rondom logging onderhoudt.

In het kader van AVG-artikel 30 (verwerkingsregister) en artikel 32 (passende beveiliging) moet tevens worden beschreven hoe loggegevens met persoonsgegevens worden beschermd wanneer ze niet langer automatisch worden overschreven. Dat houdt in dat encryptie-at-rest op de opslaglocatie verplicht is, toegang wordt geregeld via rolgebaseerde autorisatie en dat bewaartermijnen aansluiten op wettelijke verplichtingen. Auditors willen kunnen terugvinden dat bewaartermijnen periodiek worden geëvalueerd en dat er een exitstrategie is voor het naar een ander platform migreren van historische logs zonder integriteit te verliezen. Door deze compliance-eisen expliciet te verbinden aan de Disabled-instelling, ontstaat een sluitende keten van beleid, uitvoering en bewijsvoering die laat zien dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk wordt nageleefd.

Een volwassen nalevingsaanpak omvat ook het opnemen van de instelling in het jaarlijkse interne controleplan. Internal audit voert steekproeven uit op verschillende devicegroepen, vergelijkt de Intune-rapportages met lokale systeemconfiguraties en controleert of afwijkingen binnen de afgesproken termijn zijn opgepakt. De resultaten worden gedeeld met het auditcomité en vormen input voor de verklaring dat logbeheer onder controle is. Deze periodieke assurance vormt het sluitstuk van de keten en geeft externe toezichthouders vertrouwen dat Disabled niet slechts een configuratie is, maar een governancemechanisme dat aantoonbaar werkt.

Verder dient de organisatie afspraken te maken met leveranciers die beheerde werkplekken of infrastructuur leveren. In uitbestedingscontracten wordt opgenomen dat wijzigingen aan logging alleen mogen plaatsvinden na schriftelijke goedkeuring en dat zij dezelfde Disabled-instelling via hun eigen tooling moeten afdwingen. Toeleveranciers leveren kwartaalrapportages waarin zij verklaren dat het beleid actief is en leveren logextracten ter steekproefcontrole. Door deze ketenborging wordt garantie verkregen dat de naleving niet ophoudt bij de eigen grenzen van de organisatie, maar doorloopt naar externe partijen die een cruciale rol spelen in de beveiligingsketen.

Tot slot hoort er bij compliance een duidelijke metriekenset waarmee bestuurders kunnen zien hoe vaak en hoe snel op afwijkingen is gereageerd. Denk aan indicatoren zoals het percentage endpoints met Disabled actief, het aantal gerapporteerde uitzonderingen per maand en de gemiddelde tijd tot volledige herstelactie. Deze cijfers worden opgenomen in de kwartaalrapportage richting CIO en CISO en vormen de basis voor managementbesluiten over extra investeringen in opslag of tooling. Door compliance tastbaar te maken via meetbare indicatoren, blijft het onderwerp hoog op de agenda en kan men richting toezichthouders aantonen dat de controle niet alleen ontworpen is, maar voortdurend wordt gemeten en verbeterd.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Dwing af dat logboeken nooit automatisch worden gewist en ondersteun het met opslag, monitoring en remediatieprocessen.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE