我知道围绕 SF 存在多个“审计”问题,但我觉得这个问题略有不同。
目标: 审计仅有的我的域中的用户登录和注销。域功能级别目前为 2003,但我希望很快将其提升至 2008,然后是 2008 R2。
目前,这是审计政策
这是该政策的结果
我并不关心目录服务访问/其他对象访问等事件。我只想要登录和注销,因为其他事件会使日志膨胀。有人能发现我在这里做错了什么吗?
答案1
您所做错的事情可能不是您想听到的。
您当前尝试做的是将日志限制为您想要查看的内容。您应该做的是让日志收集和累积,然后使用另一个工具筛选出您需要查找的相关内容。这就是日志收集设备的作用。至于“使日志膨胀”,除非这些日志的大小接近数百兆字节,否则我认为您不必担心这一点。Windows 有一个处理日志的轮换机制。
因此... 确保记录帐户登录事件... 这应该默认应用于您的域控制器策略。然后查看用于集中这些事件的 Windows 设施,这是 2008 或 2008R2 系统中的新功能。