Penggunaan lanjutan Get-WinEvent dan WEF untuk pengauditan dan keselamatan

Dalam kebanyakan organisasi, penggunaan peranti USBSambungan RDP, log masuk interaktif dan akses sistem lain telah menjadi masalah sebenar bagi pasukan keselamatan. Kawal siapa yang bersambung, dari mana, dengan peranti apa dan pada masa apa Ia penting untuk mengesan pencerobohan, menapis tingkah laku yang tidak normal dan mematuhi peraturan yang semakin ketat.

Berita baiknya ialah, jika anda bekerja dengan Windows, anda mempunyai beberapa alat yang sangat berkuasa untuk memusatkan semua penjejakan data tersebut: Get-WinEvent, pemajuan peristiwa Windows (WEF/WEC), pertanyaan XPath/XML lanjutan dan penyelesaian jenis SIEM atau MapReduceDengan menggabungkan alatan ini, anda boleh menyediakan apa sahaja daripada sistem ringan hinggalah mengaudit log masuk pengguna tunggal, kepada seni bina besar-besaran yang mampu menerima puluhan ribu peristiwa sesaat dan menyimpannya selama bertahun-tahun.

Get-WinEvent: asas untuk membuat pertanyaan pada log peristiwa dalam Windows

cmdlet itu Get-WinEvent ialah pengganti moden untuk Get-EventLog pada sistem Windows Vista atau yang lebih baharu. Tidak seperti sebelumnya, ia membenarkan akses kepada kedua-dua pendaftaran "klasik" (Aplikasi, Sistem, Keselamatan…) dan pendaftaran baharu berdasarkan teknologi Log Peristiwa Windows dan ETW (Penjejakan Peristiwa untuk Windows)serta fail .evtx dan .etl yang diarkibkan atau disalin daripada komputer lain.

Salah satu kelebihannya ialah Ia menyokong pelbagai mod pertanyaan dan penapisanAkses boleh diperolehi melalui: nama rekod, pembekal, fail tertentu, jadual hash, XPath atau pertanyaan XML penuh. Ia juga menyokong akses jauh menggunakan parameter KomputerName walaupun tanpa PowerShell Mengalihkan, dan boleh disahkan dengan kelayakan alternatif melalui -Tauliah.

Secara lalai, apabila anda meminta acara, Ia mengembalikannya mengikut urutan dari yang terbaru hingga yang terlama, walaupun dengan suis -Tertua Anda boleh membalikkan susunan itu, yang wajib apabila bekerja dengan jejak ETW (.etl) atau log debug tertentu.

Sintaks utama Get-WinEvent

Cmdlet disusun kepada beberapa "set parameterSetiap satu direka untuk senario yang berbeza. Secara amnya, bentuk yang paling biasa ialah:

• Get-WinEvent -LogName: mengambil peristiwa daripada satu atau lebih rekod tertentu.
• Get-WinEvent -ListLog: senaraikan konfigurasi rekod yang tersedia.
• Get-WinEvent -ListProvider: dapatkan senarai penyedia acara dan rekod yang mereka tulis.
• Get-WinEvent -NamaPenyedia: membaca peristiwa yang dikeluarkan oleh satu atau lebih penyedia tertentu.
• Get-WinEvent -Path: berfungsi secara langsung dengan fail .evtx, .evt atau .etl yang diarkibkan.
• Get-WinEvent -FilterHashtable: bina penapis berkuasa dengan pasangan nilai-kunci (LogName, Id, Aras, MasaMula, Data, dsb.).
• Get-WinEvent -FilterXml: melaksanakan pertanyaan XML kompleks yang dijana, contohnya, daripada Pemapar Peristiwa.

Semua set ini boleh digabungkan dengan parameter biasa seperti -MaxEvents (had keputusan), -KomputerName (peralatan jarak jauh), -Tauliah (akaun lain), -Kuat kuasa (termasuk log penyahpepijatan/analisis) atau -Tertua (susunan kronologi menaik).

Contoh praktikal Get-WinEvent untuk pengauditan dan keselamatan

Cara terpantas untuk membiasakan diri dengan Get-WinEvent adalah dengan melihatnya kes penggunaan dunia sebenar yang sesuai dengan tugasan harianterutamanya jika anda bertanggungjawab ke atas keselamatan, pematuhan atau sokongan peringkat pertama.

Contohnya, anda boleh mulakan dengan menyenaraikan semua rekod sedia ada pada pelayan untuk melihat apa yang tersedia, dan kemudian perhalusi carian anda untuk menumpukan pada peristiwa yang menarik minat anda, seperti log masuk (Id 4624), pemutusan sambungan RDP, ralat aplikasi, perubahan perkhidmatan atau aktiviti USB yang mencurigakan.

Senaraikan semua rekod daripada komputer (tempatan atau jauh)

Untuk mendapatkan persediaan cepat Untuk rekod yang terdapat pada hos, termasuk saiz maksimum, mod putaran dan kiraan entri, anda boleh menggunakan:

Get-WinEvent -ListLog *

Jika anda juga ingin mengehadkan diri anda hanya kepada rekod yang mempunyai kandungan, adalah sangat berguna untuk menggabungkannya dengan Mana-objek menapis harta benda Kiraan Rekodbaik di peringkat tempatan mahupun jarak jauh dengan -KomputerName:

Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }

Dengan cara ini Anda fokus pada rakaman "langsung" di mana perkara benar-benar berlaku., sesuai sebagai titik permulaan sebelum membina pertanyaan yang lebih khusus.

Bekerja dengan konfigurasi daftar tertentu

Apabila anda mempunyai masalah pengekalan ruang atau bukti, adalah berguna untuk mengetahui dan mengubah suai konfigurasi log. Anda boleh mendapatkan objek menggunakan Get-WinEvent. Konfigurasi Log Peristiwa Contohnya, daftar Keselamatan:

$log = Get-WinEvent -ListLog Security
$log.MaximumSizeInBytes = 1GB
$log.SaveChanges()

Selepas menukar sifat seperti MaximumSizeInBytes, LogMode atau LogFilePathAdalah dinasihatkan untuk menyemak semula pendaftaran dengan Format-List -Property * untuk mengesahkan bahawa pengubahsuaian telah digunakan dengan betul. Walau bagaimanapun, anda memerlukan kebenaran pentadbirJika tidak, anda akan melihat pengecualian akses ditolak.

Rekod pertanyaan daripada berbilang pelayan secara selari

Dalam persekitaran dengan berpuluh-puluh pengawal domain atau pelayan kritikal, adalah perkara biasa untuk memerlukan gambar homogen bagi keadaan rekod yang sama (contohnya, Aplikasi atau Keselamatan). Oleh kerana parameter ComputerName hanya menerima satu komputer bagi setiap pemanggilan, gelung foreach biasanya digunakan:

$servers = 'Server01','Server02','Server03'
foreach ($s in $servers) {
    Get-WinEvent -ListLog Application -ComputerName $s |
    Select-Object LogMode,MaximumSizeInBytes,RecordCount,LogName,
        @{Name='ComputerName';Expression={$s}} |
    Format-Table -AutoSize
}

Dengan corak ini, Dalam satu larian, anda mempunyai data yang setanding daripada semua ahli kumpulan dan anda boleh mengesan perbezaan saiz, mod putaran atau pertumbuhan yang tidak normal dengan segera.

Terokai penyedia dan jenis acara yang tersedia

Selain log, Get-WinEvent membolehkan anda menyenaraikan penyedia acara (program/perkhidmatan yang menulis ke log) menggunakan parameter -Penyedia SenaraiIni penting apabila anda ingin melihat apa yang dijana oleh, contohnya, "Dasar Kumpulan" atau "Windows Defender":

Get-WinEvent -ListProvider *

Output menunjukkan sifat-sifat seperti Nama, LogLink, Opcode, Tugas dan, dalam Peristiwa, senarai ID dan penerangannyaDengan sesuatu yang semudah:

(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events |
    Format-Table Id, Description

anda dapat semuanya sekaligus pengecam peristiwa yang manakah dijana oleh pembekal tertentu?, dengan ringkasan pendek setiap satu, sesuai untuk mengetahui apa yang perlu anda kumpulkan melalui WEF atau SIEM semasa menyiasat pencerobohan atau ingin mencipta peraturan korelasi.

Ringkaskan kandungan rekod mengikut ID atau tahap peristiwa

Anda tidak semestinya perlu melihat setiap peristiwa; selalunya lebih berguna untuk mengetahuinya ID yang manakah paling kerap diulang dan pada tahap apakah (Ralat, Amaran, Maklumat…)Anda boleh melakukannya dengan memuatkan peristiwa ke dalam memori terlebih dahulu dan kemudian mengumpulkannya:

$events = Get-WinEvent -LogName 'Windows PowerShell'
$events.Count
$events | Group-Object -Property Id -NoElement | Sort-Object Count -Descending
$events | Group-Object -Property LevelDisplayName -NoElement

Ini memberikan anda ringkasan yang sangat mudah di mana anda boleh melihat, sebagai contoh, ID 600 mempunyai 147 kejadian dan Kebanyakan penyertaan adalah pada peringkat MaklumatIa merupakan cara cepat untuk mengesan jika terdapat lonjakan ralat atau amaran sepanjang tempoh tertentu.

Penapisan lanjutan: Pertanyaan FilterHashtable, XPath dan XML

Apabila anda mula memperhalusi carian anda, Get-WinEvent menyerlah berkat tiga mekanisme penapisan yang sangat berkuasaJadual hash, pertanyaan XPath dan pertanyaan XML penuh. Menggunakannya dengan betul membuat perbezaan antara mendapatkan berjuta-juta peristiwa atau hanya yang anda perlukan.

FilterHashtable: penapis yang paling mudah dan cekap

Parameter -TapisHashtable Ia menerima satu atau lebih jadual hash dengan pasangan nilai kunci seperti LogName, Id, Level, StartTime, EndTime, ProviderName, UserID, Data atau pun SuppressHashFilter untuk mengecualikan peristiwa tertentu. Perkara yang baik ialah Penapisan dilakukan dalam enjin peristiwa itu sendiri.bukan dalam saluran paip PowerShell, jadi ia jauh lebih pantas daripada menggunakan Where-Object selepas itu.

Contohnya, untuk mencari peristiwa aplikasi dengan ID 1003 daripada dua hari terakhir:

$start = (Get-Date).AddDays(-2)
Get-WinEvent -FilterHashtable @{ LogName='Application'; StartTime=$start; Id=1003 }

Dan jika apa yang menarik minat anda adalah Cari ralat "Ralat Aplikasi" yang berkaitan dengan iexplore.exe dalam minggu lepas:

$start = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{
    LogName='Application'
    ProviderName='Application Error'
    Data='iexplore.exe'
    StartTime=$start
}

Variasi itu SuppressHashFilter Ia menambah lapisan yang menarik: anda boleh menyuruhnya mengambil semua kecuali apa yang sesuai dengan jadual hash mini yang lain. Contohnya, semua peristiwa Aplikasi dari dua hari terakhir kecuali yang berada di tahap 4 (Maklumat):

$start = (Get-Date).AddDays(-2)
$filter = @{
    LogName='Application'
    StartTime=$start
    SuppressHashFilter=@{ Level=4 }
}
Get-WinEvent -FilterHashtable $filter

Penapis komposit jenis ini sesuai untuk Tumpukan perhatian pada perkara yang berkaitan (ralat, amaran) tanpa membiarkan hingar maklumat mengaburkan isyarat..

XPath dan FilterXPath: apabila anda memerlukan ketepatan pembedahan

Jika anda datang dari dunia XML atau pernah mencuba Event Viewer, ini akan kedengaran biasa. XPathGet-WinEvent membolehkan anda menggunakan ekspresi XPath terus ke registri menggunakan -FilterXPath digabungkan dengan LogName atau ProviderName.

Contoh klasik ialah tapis mengikut tahap dan mengikut tetingkap masa relatif, tanpa perlu mengira tarikh dalam PowerShell, tetapi dalam pertanyaan itu sendiri:

$xpath = '*]]'
Get-WinEvent -LogName 'Windows PowerShell' -FilterXPath $xpath

Di sini anda bertanya Peristiwa peringkat amaran dalam tempoh 24 jam yang lalu (86.400.000 ms), menggunakan maklumat SystemTime bagi peristiwa itu sendiri, yang sangat mudah apabila anda mengautomasikan peraturan WEF.

FilterXml: pertanyaan kompleks yang dijana daripada Pemapar Peristiwa

Apabila pertanyaan menjadi kompleks (berbilang rekod, gabungan Pilih/Sekat, syarat bersarang…), perkara praktikal yang perlu dilakukan ialah pergi ke Penonton acaraCipta paparan tersuai dengan antara muka grafik dan kemudian salin Tab XML daripada perundingan itu.

Esa Rentetan XML Anda boleh menggunakannya semula secara langsung dalam PowerShell:

$xmlQuery = @'
<QueryList>
  <Query Path="Windows PowerShell">
    <Select Path="System">
      *]]
    </Select>
  </Query>
</QueryList>
'@

Get-WinEvent -FilterXml $xmlQuery

Di samping itu, format XML menyokong elemen Menindas serupa dengan SuppressHashFilter, yang Mereka membantu anda menghilangkan bunyi bising tanpa menjejaskan sesi konsultasi yang lain., sangat berguna dalam langganan WEF yang kompleks.

Fail log yang diarkibkan dan jejak ETW (.evtx, .evt, .etl)

Satu lagi kelebihan besar Get-WinEvent ialah Ia tidak terhad kepada rekod aktif peralatanAnda juga boleh mengendalikan fail yang disimpan pada cakera, sama ada sandaran, eksport daripada sistem lain atau jejak diagnostik.

Baca log .evtx yang disimpan pada cakera

Jika anda mempunyai, sebagai contoh, eksport pendaftaran "Windows PowerShell" (lihat sejarah kebolehpercayaan dalam PowerShell) Dalam C:\Test\Windows PowerShell.evtxHanya tunjuk ke fail itu:

Get-WinEvent -Path 'C:\Test\Windows PowerShell.evtx'

Jalan keluar akan merangkumi NamaPenyedia, MasaDicipta, Id, NamaPaparanAras dan MesejSama seperti anda sedang membaca rakaman langsung. Dari situ anda boleh menggunakan penapis mengikut ID, julat masa, dsb., seperti biasa.

Hadkan bilangan peristiwa dalam fail yang diarkibkan

Apabila fail tersebut sangat besar, adalah dinasihatkan untuk menggunakan -MaxEvents Untuk mengelakkan pengambilan beribu-ribu entri sekaligus. Contohnya, 100 peristiwa terakhir daripada log PowerShellCore yang diarkibkan:

Get-WinEvent -Path 'C:\Test\PowerShellCore Operational.evtx' -MaxEvents 100

Teknik ini sesuai untuk Buka log lama "sejuk" tanpa menepu sesi dan kemudian perhalusi analisis dengan lebih banyak penapis jika perlu.

Analisis jejak ETW (.etl) dan gabungkannya dengan log .evtx

Jejak-jejak Penjejakan Peristiwa untuk Windows (ETW) Ia disimpan sebagai .etl dan menulis peristiwa mengikut urutan dari yang tertua hingga yang terbaruOleh itu, apabila membuat pertanyaan dengan Get-WinEvent, anda harus sentiasa memaksanya. -TertuaJika tidak, anda tidak akan mendapat hasil yang diharapkan.

Get-WinEvent -Path 'C:\Tracing\TraceLog.etl' -Oldest |
  Sort-Object TimeCreated -Descending |
  Select-Object -First 100

di sini susun semula dalam memori mengikut TimeCreated dalam tertib menurun dan anda menyimpan 100 peristiwa terkini, walaupun ia berada dalam arah yang bertentangan pada cakera.

Anda juga boleh menggabungkannya ke dalam satu panggilan. beberapa fail daripada pelbagai jenisContohnya, jejak .etl dengan fail .evtx yang diarkibkan, dan kemudian menapisnya bersama mengikut Id atau sebarang sifat lain:

Get-WinEvent -Path 'C:\Tracing\TraceLog.etl','C:\Test\Windows PowerShell.evtx' -Oldest |
  Where-Object { $_.Id -eq 403 }

Ini membolehkan anda melakukan korelasi pantas antara peristiwa peringkat rendah dan rekod peringkat tinggi tanpa perlu memuat naik setiap fail secara berasingan ke alat yang berbeza.

Mengaudit log masuk dan sambungan RDP dengan Get-WinEvent

Salah satu senario paling tipikal dengan Get-WinEvent dalam keselamatan ialah jejak log masuk yang berjaya (Id 4624) dan gagal (Id 4625) dalam daftar Keselamatan, maklumat rujukan silang seperti pengguna, peranti sumber, alamat IP dan jenis log masuk (interaktif, rangkaian, perkhidmatan, RDP…).

Jika anda mahu, sebagai contoh, cari semua log masuk yang berjaya untuk pengguna tertentu Untuk pengawal domain dalam tempoh 24 jam yang lalu, pendekatan biasa ialah:

$DCs = Get-ADDomainController -Filter *
$startDate = (Get-Date).AddDays(-1)

foreach ($dc in $DCs) {
    Get-WinEvent -ComputerName $dc.HostName -FilterHashtable @{
        LogName   = 'Security'
        StartTime = $startDate
        Id        = 4624
        Data      = 'USERNAME'
    } |
    Select-Object TimeCreated, MachineName, Id, Message
}

Caranya ialah data yang anda cari (alamat IP sumber, nama hos jauh, jenis log masuk, dll.) tidak muncul sebagai sifat langsung, tetapi dalam bahagian EventData/XMLEvent bagi acara tersebutUntuk mengekstraknya dengan bersih dan tanpa menghuraikan teks Mesej, anda boleh menukar setiap EventLogRecord kepada XML:

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id=4624; StartTime=$startDate } |
ForEach-Object {
    $xml = $_.ToXml()
    @{
        TimeCreated    = $_.TimeCreated
        TargetUser     = $xml.Event.EventData.Data.'#text'   # Depende del esquema
        SourceIp       = $xml.Event.EventData.Data.'#text'  # Ejemplo típico
        SourceHostname = $xml.Event.EventData.Data.'#text'
        LogonType      = $xml.Event.EventData.Data.'#text'
        Computer       = $_.MachineName
    }
}

Indeks khusus untuk setiap medan dalam Data[] bergantung pada templat peristiwa (Id Keselamatan 4624 dalam kes ini), tetapi dengan beberapa ujian dalam Pemapar Peristiwa atau dengan memeriksa XML, anda boleh mencarinya dengan mudah. kedudukan yang sepadan dengan IpAddress, WorkstationName, TargetUserName, LogonType, dsb.

Pemajuan Peristiwa Windows (WEF) dan Pengumpul WEC

Apabila anda beralih dari satu atau dua pelayan ke ratusan atau ribuan peranti, hanya menjalankan Get-WinEvent atas permintaan tidak lagi mencukupi. Anda memerlukan sistem. pengumpulan acara berterusan berpusat dan boleh diskalaPeranan itu dipenuhi oleh Pemajuan Peristiwa Windows (WEF) dan Pengumpul Peristiwa Windows (WEC).

Ideanya mudah: Klien (sumber) menghantar peristiwa ke pelayan pengumpul berdasarkan langganan yang anda tentukan. Anda boleh mempunyai, sebagai contoh, langganan "garis dasar" yang terpakai untuk seluruh organisasi dan langganan "suspek" atau sasaran lain yang hanya anda aktifkan pada peranti yang ingin anda pantau dengan teliti (disebabkan oleh insiden, siasatan forensik, dsb.).

Langganan asas vs. langganan yang mencurigakan

Dalam praktiknya, seseorang biasanya bekerja dengan dua pertanyaan XML yang besar (yang boleh anda import ke dalam WEC):

• Langganan asas: yang terpakai kepada semua hos dan mengumpul peristiwa bervolum rendah tetapi bernilai tinggi, seperti boot dan penutupan sistem, penciptaan proses (4688), perubahan kumpulan pentadbiran, penciptaan atau pengubahsuaian tugasan berjadual, penggunaan AppLocker, perubahan masa, aktiviti klien SMB, penciptaan/pemadaman sumber kongsi, peristiwa malware dan peristiwa penting daripada log Keselamatan.
• Langganan yang mencurigakan atau disasarkan: hanya terpakai kepada subset komputer "ditanda" dan menambah peristiwa volum tinggi atau sangat terperinci, seperti semua sesi rangkaian, Klien/Operasi DNS, pengesahan kelayakan tempatan, pengauditan terperinci perubahan pendaftaran, peristiwa PowerShell (klasik dan moden), beban pengesahan tanpa wayar 802.1xo pemandu dalam mod pengguna.

dengan model ini Anda tidak membebankan SEM anda dengan hingar daripada semua titik akhirTetapi apabila sesebuah pasukan "berbau hanyir", anda boleh menaik tarafnya hanya dengan menambahkannya pada langganan yang mencurigakan, tanpa menyentuh seluruh armada.

Skalabiliti dan pemilihan gudang data

Bergantung pada jumlah peristiwa sesaat, anda perlu memilih di mana hendak menyimpan data tersebut dan alat yang digunakan untuk menganalisisnya:

• Sehingga beberapa 5.000 peristiwa/saat: A pangkalan data SQL atau SEM jenis "semua-dalam-satu" biasanya mencukupi.
• Antara 5.000 dan 50.000 peristiwa/saatPendekatan biasa adalah menggunakan SIEM atau platform pengurusan acara keselamatan (Splunk, Elastic Stack, dll.).
• Di atas 50.000 peristiwa/saatPendekatan terbaik adalah berfikir dari segi seni bina MapReduce/Data Lake seperti Hadoop, HDInsight atau platform yang setara untuk tempoh pengekalan yang panjang (tahun) dan analisis lanjutan.

Keindahan WEF ialah Ia tidak mengubah suai penjanaan peristiwaIa hanya membaca dan menghantarnya. Itulah sebabnya disyorkan bahawa, sebagai sebahagian daripada GPO asas anda, anda sudah mempunyai arahan audit minimum, saiz log dan kebenaran saluran yang sesuai, supaya sistem telah mengumpulkan jejak berguna sejak minit pertama lagi.

Tolak vs Tarik, VPN dan keselamatan saluran acara

Langganan WEF boleh beroperasi dalam mod tolak (dimulakan oleh asal) o tarikan (dimulakan oleh pengumpul)Walaupun dalam praktiknya kebanyakan persekitaran memilih untuk menolak, iaitu lebih ringkas, boleh diskala dan lebih mudah diselenggaraKlien dikonfigurasikan melalui GPO, WinRM diaktifkan, dan ia mula menghantar peristiwa ke WEC mengikut parameter langganan.

Sistem ini berfungsi dengan baik dengan VPNRAS dan Akses LangsungJika klien terputus sambungan, ia akan mengumpul peristiwa dalam log setempat dan menghantarnya semula apabila ia disambungkan semula kepada pengumpul. Log setempat bertindak sebagai penimbal; jika log menjadi rosak dan entri hilang sebelum dihantar semula, pengumpul tidak akan menerima pemberitahuan jelas tentang kehilangan tersebut, jadi ia berbaloi. mengembangkan saiz saluran penting.

Dalam persekitaran domain, Sambungan antara klien WEF dan WEC disulitkan menggunakan Kerberos. (dengan kemungkinan sandaran kepada NTLM jika anda tidak melumpuhkannya melalui GPO), tidak kira sama ada anda menggunakan HTTP atau HTTPS. Hanya jika anda mahukan pengesahan sijil tulen (tanpa Kerberos) anda akan menggunakan HTTPS dengan SSL dan sijil klien.

Kekerapan penghantaran dan pilihan pengoptimuman

Setiap langganan menentukan bagaimana dan bila acara-acara tersebut disampaikanAnda mempunyai tiga pilihan pra-konfigurasi dan pilihan "Tersuai" keempat yang hanya boleh dilaraskan dengan wecutil.exe:

• normal: mengutamakan kebolehpercayaan berbanding penjimatan lebar jalur, dengan kelompok 5 elemen dan tamat masa 15 minit (mod tarik).
• Kurangkan lebar jalurGunakan mod tolak, degupan jantung setiap 6 jam dan kelompok besar, sesuai untuk pautan yang ketat.
• Minimumkan kependaman: juga tolak, tetapi dengan kelompok yang sangat kerap (30 saat), sesuai untuk amaran hampir masa nyata.
• Adat: membolehkan anda melaraskan DeliveryMaxItems, DeliveryMaxLatencyTime, dsb., contohnya dengan menetapkan peristiwa kelompok dengan latensi maksimum 10 ms.

dengan arahan sebagai wecutil ss «NamaLangganan» /cm:Tersuai /dmi:1 /dmlt:10 Anda boleh memperhalusi pilihan ini untuk untuk memastikan langganan kritikal tertentu menyampaikan acara hampir serta-merta dengan kos peningkatan trafik.