Mengenai Pemapar Acara, terdapat dua jenis hasil yang boleh anda perolehi daripada audit – kejayaan atau kegagalan. Tetapi apakah maksud setiap satu? Berikut adalah penjelasan ringkas bagi setiap satu.
Kejayaan Audit
Kejayaan audit bermakna tindakan yang diaudit telah berjaya diselesaikan. Ini mungkin sesuatu seperti pengguna yang log masuk ke sistem, atau proses yang sedang dijalankan. Pada asasnya, apa sahaja yang telah anda konfigurasikan Pemapar Acara untuk dijejaki dan dilaporkan.
Kegagalan Audit
Kegagalan audit, sebaliknya, bermakna tindakan yang diaudit tidak berjaya diselesaikan. Ini mungkin disebabkan oleh beberapa sebab, seperti kata laluan yang salah dimasukkan atau pengguna tidak mempunyai kebenaran yang diperlukan untuk melakukan tindakan tersebut. Sekali lagi, apa sahaja yang anda telah konfigurasikan Pemapar Acara untuk dijejak dan dilaporkan boleh mengakibatkan kegagalan audit.
Jadi begitulah - penjelasan ringkas tentang kejayaan dan kegagalan audit dalam Pemapar Acara. Seperti biasa, jika anda mempunyai sebarang pertanyaan, sila hubungi pasukan pakar IT kami.
Untuk membantu dalam menyelesaikan masalah, Pemapar Peristiwa yang terbina dalam sistem pengendalian Windows memaparkan log mesej sistem dan aplikasi yang merangkumi ralat, amaran dan maklumat acara tertentu yang boleh dianalisis oleh pentadbir untuk mengambil tindakan yang sewajarnya. Dalam entri ini kita membincangkan Kejayaan Audit atau Kegagalan Audit dalam Pemapar Acara .
Apakah itu Kejayaan Audit atau Kegagalan Audit dalam Pemapar Acara
Dalam penonton acara Audit kejayaan ialah peristiwa yang mencatatkan percubaan akses selamat yang disahkan berjaya, manakala Ralat audit ialah peristiwa yang mencatat percubaan yang tidak berjaya pada akses selamat yang disahkan. Kami akan membincangkan topik ini dalam subtajuk berikut:
- Dasar Audit
- Dayakan dasar audit
- Gunakan pemapar acara untuk mencari sumber percubaan yang gagal atau berjaya
- Alternatif untuk Menggunakan Pemapar Acara
Mari kita lihat ini secara terperinci.
Dasar Audit
Dasar audit mentakrifkan jenis peristiwa yang ditulis pada log keselamatan, dan dasar ini menjana peristiwa yang boleh berjaya atau gagal. Semua dasar audit akan menjana Semoga berjaya peristiwa ; namun, hanya segelintir daripada mereka yang akan menjana Peristiwa kegagalan . Anda boleh mengkonfigurasi dua jenis dasar audit, iaitu:
- Dasar audit asas mempunyai 9 kategori dasar audit dan 50 subkategori dasar audit yang boleh didayakan atau dilumpuhkan mengikut keperluan. Di bawah ialah senarai 9 kategori dasar audit.
- Audit peristiwa log masuk akaun
- Acara Log Masuk Audit
- Audit Pengurusan Akaun
- Audit Akses Perkhidmatan Direktori
- Audit capaian objek
- Mengubah dasar audit
- Penggunaan Keistimewaan Audit
- Menjejaki proses audit
- Acara sistem pengauditan. Tetapan dasar ini menentukan sama ada untuk mengaudit apabila pengguna memulakan semula atau mematikan komputer, atau apabila peristiwa berlaku yang menjejaskan sama ada keselamatan sistem atau log keselamatan. Untuk maklumat lanjut dan acara log masuk yang berkaitan, lihat dokumentasi Microsoft di Learn.microsoft.com/Basic-Audit-System-Events .
- Dasar audit lanjutan yang mempunyai 53 kategori, jadi disyorkan kerana anda boleh menentukan dasar audit yang lebih terperinci dan hanya mencatat peristiwa yang berkaitan, yang amat berguna apabila menjana sejumlah besar log.
Ralat audit biasanya berlaku apabila permintaan log masuk gagal, walaupun ia juga boleh disebabkan oleh perubahan pada akaun, objek, dasar, keistimewaan dan peristiwa sistem lain. Dua peristiwa yang paling biasa ialah:
- ID Peristiwa 4771: Pra-pengesahan Kerberos gagal . Peristiwa ini dijana hanya pada pengawal domain dan tidak dijana jika Tidak memerlukan pra-pengesahan Kerberos pilihan ditetapkan untuk akaun. Untuk mendapatkan maklumat lanjut tentang acara ini dan cara menyelesaikan isu ini, lihat dokumentasi Microsoft .
- ID Acara 4625: Gagal melog masuk akaun . Peristiwa ini dijana apabila percubaan log masuk akaun gagal dan pengguna sudah dikunci keluar. Untuk mendapatkan maklumat lanjut tentang acara ini dan cara menyelesaikan isu ini, lihat dokumentasi Microsoft .
Baca : Bagaimana untuk menyemak log penutup dan permulaan dalam Windows
Dayakan dasar audit
Anda boleh mendayakan dasar audit pada mesin klien atau pelayan melalui Editor Dasar Kumpulan Tempatan atau Konsol Pengurusan Dasar Kumpulan, atau Editor Dasar Keselamatan Tempatan . Pada pelayan Windows dalam domain anda, sama ada buat GPO baharu atau edit GPO sedia ada.
Pada komputer klien atau pelayan, dalam Editor Dasar Kumpulan, navigasi ke laluan berikut:
|_+_|Pada komputer klien atau pelayan, dalam dasar keselamatan setempat, navigasi ke laluan berikut:
|_+_|- Dalam Dasar Audit dalam anak tetingkap kanan, klik dua kali pada dasar yang sifatnya ingin anda ubah.
- Dalam panel sifat, anda boleh mendayakan dasar untuk Semoga berjaya atau Penolakan mengikut keperluan anda.
Baca : Bagaimana untuk menetapkan semula semua tetapan dasar kumpulan tempatan kepada lalai dalam Windows
Gunakan pemapar acara untuk mencari sumber percubaan yang gagal atau berjaya
Pentadbir dan pengguna umum boleh membuka Pemapar Acara pada komputer setempat atau jauh dengan kebenaran yang sesuai. Pemapar acara kini akan melog acara setiap kali peristiwa kegagalan atau kejayaan berlaku, sama ada pada komputer klien atau domain pada pelayan. ID acara yang dicetuskan apabila mendaftar acara yang gagal atau berjaya adalah berbeza (lihat di bawah). Dasar Audit bahagian di atas). Awak boleh pergi juga Pemapar Acara > Windows Jurnal > Keselamatan . Panel di tengah menyenaraikan semua acara yang dikonfigurasikan untuk pengauditan. Anda perlu melihat peristiwa yang dilog untuk mencari percubaan yang gagal atau berjaya. Sebaik sahaja anda menemuinya, anda boleh mengklik kanan pada acara dan memilih Sifat acara Maklumat lanjut.
Baca : Gunakan Pemapar Acara untuk menyemak penggunaan komputer Windows tanpa kebenaran.
Alternatif untuk Menggunakan Pemapar Acara
Sebagai alternatif kepada menggunakan Pemapar Acara, terdapat beberapa perisian Pengurus Log Peristiwa pihak ketiga yang boleh digunakan untuk mengagregat dan mengaitkan data acara daripada pelbagai sumber, termasuk perkhidmatan awan. Penyelesaian SIEM ialah pilihan terbaik jika anda perlu mengumpul dan menganalisis data daripada tembok api, sistem pencegahan pencerobohan (IPS), peranti, aplikasi, suis, penghala, pelayan dan banyak lagi.
windows cutepdf 10
Harap anda mendapati siaran ini cukup bermaklumat!
Sekarang baca : Bagaimana untuk mendayakan atau melumpuhkan pengelogan acara selamat dalam Windows
Mengapakah penting untuk menyemak kedua-dua percubaan akses yang berjaya dan gagal?
Adalah penting untuk mengaudit peristiwa log masuk, sama ada ia berjaya atau tidak berjaya, untuk mengesan percubaan pencerobohan, kerana mengaudit log masuk pengguna ialah satu-satunya cara untuk mengesan semua percubaan log masuk domain yang tidak dibenarkan. Acara log keluar tidak dijejaki pada pengawal domain. Ia juga sama pentingnya untuk menjejaki percubaan capaian fail yang gagal, kerana entri audit dibuat setiap kali mana-mana pengguna tidak berjaya mencuba untuk mengakses objek sistem fail yang mempunyai SACL yang sepadan. Peristiwa ini diperlukan untuk menjejaki aktiviti objek fail yang sensitif atau berharga dan memerlukan pemantauan tambahan.
Baca : Kuatkan dasar kata laluan log masuk Windows dan dasar kunci keluar akaun
Bagaimana untuk mendayakan log ralat audit dalam Active Directory?
Untuk mendayakan log ralat audit dalam Active Directory, cuma klik kanan pada objek Active Directory yang ingin anda semak dan pilih Ciri-ciri . Pilih Keselamatan tab dan kemudian pilih Maju . Pilih Audit tab dan kemudian pilih Tambah . Untuk melihat log audit dalam Active Directory, klik Memulakan > Keselamatan Sistem > Alat pengurusan > Pemapar Acara . Dalam Active Directory, pengauditan ialah proses mengumpul dan menganalisis objek AD dan data Dasar Kumpulan untuk meningkatkan keselamatan secara proaktif, mengesan dan bertindak balas dengan pantas kepada ancaman serta memastikan operasi IT berjalan lancar.
