我的环境中有大约 1500 台 Windows 服务器,其中 1000 台左右是 2012 R2,500 台是 2016。
我有一份大约 150 个事件 ID 的列表,我被告知要记录和存档这些事件 ID。我不知道需要启用哪种审计策略才能成功审计每个事件。我不想启用所有事件,因为这样做对性能的影响太大。除了研究电子表格中的每个事件 ID 并确定需要启用哪种审计策略之外,还有其他更好的方法来完成这项任务吗?
答案1
答案2
我会看看https://system32.eventsentry.com,它包含所有 Windows 安全事件及其相关审计子类别的完整列表。
我认为没有办法编写脚本,但希望这是一个起点。