如何审核/记录仅被拒绝的 Windows 防火墙连接

如何审核/记录仅被拒绝的 Windows 防火墙连接

是否可以通过组策略(或其他方式?)强制我的所有 Windows 服务器和客户端计算机打开网络连接审核日志记录,但仅限于被拒绝的网络连接,而不记录成功的连接?

我当前的 Windows 事件 - 安全日志充满了允许的网络连接,而我根本不想记录这些连接

答案1

auditpol.exe /set /category:"Policy Change" /subcategory:"MPSSVC rule-level Policy Change" /success:disable /failure:enable

通过高级审计设置可以实现这一点。

相关内容