Объем событий, которые фиксируются в журнале безопасности, целиком определяется настройками системы, и их журналирование по умолчанию на рабочих станциях не ведется. Наиболее полный объем аудита событий безопасности можно установить при наличии на диске файловой системы NTFS.

Чтобы начать протоколирование событий безопасности, необходимо сначала разрешить аудит событий безопасности в политике безопасности. Это может быть сделано как локально - в локальной политике безопасности, так и централизованно - путем задания соответствующих параметров в групповой политике. Если администратор хочет отслеживать доступ к файлам и принтерам, то следует задать объекты, для которых должен осуществляться аудит событий.

Примечание Политика безопасности включает возможность аудита как успешных, так и неудачных событий для различных объектов. Не следует без необходимости вести аудит всех событий, поскольку это может привести к нерациональной загрузке компьютера и потери производительности.

Если необходимо вести протокол работы с файлами, то следует включить аудит доступа к объектам, после чего в свойствах объекта на вкладке Безопасность следует нажать кнопку Дополнительно и выбрать вкладку Аудит. Затем нужно добавить сведения о том, какие действия и от каких пользователей следует фиксировать в журнале.

Установка триггеров на события протоколов | Самоучитель системного администратора | Утилиты от sysinternals


Самоучитель системного администратора



Новости за месяц

  • Май
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс