我已经在 Windows Server 2012 R2(域控制器)上启用了审核,但收到警告,生成的事件实在太多了,它实际上并没有告诉我任何事情,或者查看起来太麻烦了。
我想要审核的事件(成功和失败)是:
- 当 PC 开启时
- 当 PC 被关闭时(以及被谁关闭)
- 用户何时登录以及在哪台电脑上登录
- 用户何时注销以及在哪台电脑上
- 当用户在文件服务器上读取、写入等文件/文件夹时
- VPN相关设置
我认为这些事件才是我感兴趣的。我对用户在他的计算机上所做的任何事情都不感兴趣,我只关心与域访问和文件服务器访问有关的事情。
我该如何正确设置它?
答案1
有些事件在 PC 本地审核(例如电源开关),有些在服务器上审核(文件共享访问),有些在 DC 上审核(帐户登录域)。并非所有事件都与 DC 相关或记录在 DC 上。
您可以在本地组策略中启用本地事件审核,也可以在域 GPO 中启用它并链接到 OU。域登录审核只能在域控制器策略上进行。
必须在 GPO 中以及您想要监控的共享上(通过 SACL 条目)启用文件访问审核。
您的问题太广泛,无法得到具体的答案,您必须熟悉 Windows 中 GPO/审计的一般工作方式。