是否可以通过组策略(或其他方式?)强制我的所有 Windows 服务器和客户端计算机打开网络连接审核日志记录,但仅限于被拒绝的网络连接,而不记录成功的连接?
我当前的 Windows 事件 - 安全日志充满了允许的网络连接,而我根本不想记录这些连接
答案1
auditpol.exe /set /category:"Policy Change" /subcategory:"MPSSVC rule-level Policy Change" /success:disable /failure:enable
通过高级审计设置可以实现这一点。