Mis on sündmuste vaaturis auditi õnnestumine või ebaõnnestumine

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Kui rääkida sündmustevaaturist, siis on auditist võimalik saada kahte tüüpi tulemusi – edu või ebaõnnestumine. Aga mida igaüks neist tähendab? Siin on igaühe kiire selgitus.



Auditi edu

Auditi edu tähendab, et auditeeritav toiming viidi edukalt lõpule. See võib olla midagi sellist, nagu kasutaja logib süsteemi sisse, või käivitatav protsess. Põhimõtteliselt kõik, mille olete sündmustevaaturi jälgimiseks ja aruandluseks seadistanud.



Auditi ebaõnnestumine

Auditi ebaõnnestumine seevastu tähendab, et auditeeritavat tegevust ei viidud edukalt lõpule. See võib olla tingitud mitmest põhjusest, näiteks vale parooli sisestamisest või kasutajal, kellel pole toimingu tegemiseks vajalikke õigusi. Jällegi võib kõik, mille olete sündmustevaaturi konfigureerinud jälgima ja millest aru andma, põhjustada auditi tõrke.



Siin on see – kiire selgitus auditi edu ja ebaõnnestumiste kohta sündmustevaaturis. Nagu alati, pöörduge küsimuste korral meie IT-ekspertide meeskonna poole.



Tõrkeotsingu abistamiseks kuvab Windowsi operatsioonisüsteemi sisseehitatud Event Viewer süsteemi- ja rakendusteadete logid, mis sisaldavad vigu, hoiatusi ja konkreetset sündmusteteavet, mida administraator saab analüüsida, et võtta asjakohaseid meetmeid. Selles postituses arutame Auditi õnnestumine või auditi ebaõnnestumine sündmuste vaaturis .

Mis on sündmuste vaaturi auditi õnnestumine või auditi ebaõnnestumine?



Mis on sündmuste vaaturis auditi õnnestumine või ebaõnnestumine

Sündmuse vaatajas Edu audit on sündmus, mis logib eduka kontrollitud turvalise juurdepääsu katse, samas Auditi viga on sündmus, mis registreerib kontrollitud turvalise juurdepääsu ebaõnnestunud katse. Arutame seda teemat järgmistes alapealkirjades:

  1. Auditipoliitika
  2. Luba auditipoliitikad
  3. Kasutage sündmuste vaatajat, et leida ebaõnnestunud või edukate katsete allikas
  4. Alternatiivid sündmustevaaturi kasutamisele

Vaatame seda üksikasjalikult.

Auditipoliitika

Auditipoliitika määratleb turbelogidesse kirjutatavate sündmuste tüübid ja need poliitikad genereerivad sündmusi, mis võivad õnnestuda või ebaõnnestuda. Kõik auditipoliitikad luuakse Edu sündmused ; vaid vähesed neist tekitavad Ebaõnnestumise sündmused . Saate konfigureerida kahte tüüpi auditipoliitikat, nimelt.

  • Põhiline auditipoliitika sellel on 9 auditipoliitika kategooriat ja 50 auditipoliitika alamkategooriat, mida saab vastavalt vajadusele lubada või keelata. Allpool on nimekiri 9 auditipoliitika kategooriast.
    • Konto sisselogimissündmuste auditeerimine
    • Sisselogimissündmuste auditeerimine
    • Kontohalduse audit
    • Kataloogiteenuste juurdepääsu audit
    • Objekti juurdepääsu audit
    • Auditipoliitika muutmine
    • Auditiõiguste kasutamine
    • Auditiprotsessi jälgimine
    • Auditeerimissüsteemi sündmused. See poliitikasäte määrab, kas auditeerida, kui kasutaja arvuti taaskäivitab või välja lülitab või kui toimub sündmus, mis mõjutab kas süsteemi turvalisust või turvalogi. Lisateavet ja seotud sisselogimissündmusi leiate Microsofti dokumentatsioonist aadressil Learn.microsoft.com/Basic-Audit-System-Events .
  • Täiustatud auditipoliitika millel on 53 kategooriat, seega on see soovitatav, kuna saate määratleda üksikasjalikuma auditipoliitika ja logida ainult asjakohaseid sündmusi, mis on eriti kasulik suure hulga logide loomisel.

Auditivead tekivad tavaliselt siis, kui sisselogimistaotlus ebaõnnestub, kuigi need võivad olla põhjustatud ka kontode, objektide, poliitikate, õiguste ja muude süsteemisündmuste muudatustest. Kaks kõige levinumat sündmust on:

  • Sündmuse ID 4771: Kerberose eelautentimine ebaõnnestus . See sündmus luuakse ainult domeenikontrollerites ja seda ei genereerita, kui Ärge nõua Kerberose eelautentimist valik on konto jaoks määratud. Selle sündmuse ja selle probleemi lahendamise kohta lisateabe saamiseks vt Microsofti dokumentatsioon .
  • Sündmuse ID 4625: kontole sisselogimine ebaõnnestus . See sündmus luuakse, kui kontole sisselogimiskatse ebaõnnestub ja kasutaja on juba lukustatud. Selle sündmuse ja selle probleemi lahendamise kohta lisateabe saamiseks vt Microsofti dokumentatsioon .

Lugege : kuidas kontrollida Windowsi sulgemis- ja käivituslogi

Luba auditipoliitikad

Luba auditipoliitikad

Saate lubada auditipoliitikad kliendi- või serverimasinates kohaliku rühmapoliitika redaktori või rühmapoliitika halduskonsooli kaudu või Kohalik turvapoliitika redaktor . Looge oma domeeni Windowsi serveris uus GPO või muutke olemasolevat GPO-d.

Liikuge kliendi- või serveriarvutis rühmapoliitika redaktoris järgmisele teele:

|_+_|

Kliendi- või serveriarvutis navigeerige kohalikus turbepoliitikas järgmisele teele:

|_+_|
  • Parempoolsel paanil auditipoliitikad topeltklõpsake poliitikat, mille atribuute soovite muuta.
  • Atribuutide paneelil saate poliitika lubada Edu või Tagasilükkamine vastavalt teie nõudele.

Lugege : kuidas lähtestada Windowsis kõik kohaliku rühmapoliitika sätted vaikeseadetele

Kasutage sündmuste vaatajat, et leida ebaõnnestunud või edukate katsete allikas

Kasutage sündmustevaaturit ebaõnnestunud või edukate sündmuste allika leidmiseks.

Administraatorid ja tavakasutajad saavad sündmustevaaturi avada kohalikus või kaugarvutis, millel on vastavad õigused. Sündmuste vaataja logib nüüd sündmuse iga kord, kui ilmneb tõrge või õnnestumise sündmus, olgu see siis klientarvutis või serveri domeenis. Ebaõnnestunud või eduka sündmuse registreerimisel käivitatav sündmuse ID on erinev (vt allpool). Auditipoliitika ülaltoodud jaotis). Võite minna Sündmuste vaataja > Ajakirja aknad > Ohutus . Keskel asuv paneel loetleb kõik auditeerimiseks konfigureeritud sündmused. Ebaõnnestunud või edukate katsete leidmiseks peate vaatama logitud sündmusi. Kui olete need leidnud, saate sündmusel paremklõpsata ja valida Sündmuse omadused Rohkem detaile.

Lugege : kasutage sündmustevaaturit, et kontrollida Windowsi arvuti volitamata kasutamist.

Alternatiivid sündmustevaaturi kasutamisele

Alternatiivina Event Vieweri kasutamisele on mitu kolmanda osapoole Event Log Manager tarkvara, mida saab kasutada mitmesugustest allikatest, sealhulgas pilveteenustest, pärinevate sündmuste andmete koondamiseks ja korreleerimiseks. SIEM-lahendus on parim valik, kui teil on vaja koguda ja analüüsida andmeid tulemüüridest, sissetungimise ennetussüsteemidest (IPS), seadmetest, rakendustest, lülititest, ruuteritest, serveritest ja mujalt.

cutepdf aknad 10

Loodetavasti leiate selle postituse piisavalt informatiivseks!

Nüüd loe : kuidas lubada või keelata turvaline sündmuste logimine Windowsis

Miks on oluline kontrollida nii edukaid kui ka ebaõnnestunud juurdepääsukatseid?

Sissetungikatsete tuvastamiseks on oluline sisselogimissündmuste auditeerimine, olenemata sellest, kas need olid edukad või ebaõnnestunud, sest kasutajate sisselogimiste auditeerimine on ainus viis kõigi volitamata domeeni sisselogimiskatsete tuvastamiseks. Väljalogimissündmusi domeenikontrollerites ei jälgita. Samuti on sama oluline jälgida ebaõnnestunud failijuurdepääsu katseid, kuna auditi kirje luuakse iga kord, kui mõni kasutaja üritab ebaõnnestunult pääseda juurde failisüsteemi objektile, millel on sobiv SACL. Need sündmused on vajalikud tundlike või väärtuslike failiobjektide tegevuse jälgimiseks ja vajavad täiendavat jälgimist.

Lugege : tugevdage Windowsi sisselogimise paroolipoliitikat ja konto lukustamise poliitikat

Kuidas lubada Active Directorys auditi vealogid?

Auditi vealogide lubamiseks Active Directory'is paremklõpsake lihtsalt Active Directory objektil, mida soovite kontrollida, ja valige see Omadused . Valige Ohutus vahekaart ja seejärel valige Täpsemalt . Valige Audit vahekaart ja seejärel valige Lisama . Auditilogide vaatamiseks Active Directorys klõpsake nuppu Alusta > Süsteemi turvalisus > Haldustööriistad > Sündmuste vaataja . Active Directorys on auditeerimine AD-objektide ja rühmapoliitika andmete kogumise ja analüüsimise protsess, et ennetavalt parandada turvalisust, kiiresti tuvastada ohte ja neile reageerida ning hoida IT-toimingud sujuvalt toimimas.

Kategooria
Sündmuste Logid
Soovitatav
Parandage süsteemitaaste tõrge 0x80070002, STATUS_WAIT_2 operatsioonisüsteemis Windows 10
Parandage süsteemitaaste tõrge 0x80070002, STATUS_WAIT_2 operatsioonisüsteemis Windows 10
Windows
Näpunäiteid kontrollielemendi kasutamiseks Google Chrome'i brauseris
Näpunäiteid kontrollielemendi kasutamiseks Google Chrome'i brauseris
Kindral
Microsoft Surface Book vs Dell XPS 12 – võrdlus
Microsoft Surface Book vs Dell XPS 12 – võrdlus
Kindral
Draiverite installimine opsüsteemis Windows 11/10
Draiverite installimine opsüsteemis Windows 11/10
Autojuhid
Lemmik Postitused
Firmast
Prankmike Annab Vihjeid, Suuniseid, Juhiseid Windows 10, Funktsioonid Ja Vaba Tarkvara.
Kategooriad
Enim Vaadatud
Copyright © 2024Kõik Õigused Kaitstud | prankmike.com | Privaatsuspoliitika