日志审核策略不包括下列内容:在Windows系统日志安全中启用组策略对成功和失败均审核的“目录访问”;低敏感客户信息访问至少按月审核且日志抽样比率不低于3%的说法;以及将“IIS访问记录”或“邮件收发记录”作为必须记录的事件类别。一、Windows系统日志安全中的组策略审核在Windows系统日志安全中,启用组策略进行日志审核时,通常不需要对“目录访问”的成功和失败事件均进行审核。目录访问的成功事件通常默认无需审核,因为频繁的成功访问记录会增加日志量且对安全分析帮助不大。仅在特殊合规要求下,才可能需要记录成功访问事件。二、低敏感客户信息访问的日志审核关于低敏感客户信息访问的日志审核,有一种错误的说法是“低敏感客户信息访问至少按月审核,日志抽样比率不低于3%”。实际上,根据合理的安全实践和合规要求,低敏感客户信息访问的日志抽样比率应不低于一个更高的比例(如5%),以确保能够充分捕捉潜在的安全事件。三、事件类别的记录在日志审核策略中,并非所有事件类别都需要被记录。特别是“IIS访问记录”和“邮件收发记录”,这些记录可能属于特定应用或服务的日志范畴,而不是所有系统或组织都需要普遍记录的。是否记录这些事件类别应根据组织的实际需求和安全策略来决定。综上所述,日志审核策略在制定和实施时,需要综合考虑系统的安全性、合规要求以及组织的实际需求,避免不必要的日志记录带来的资源浪费和安全隐患。