Når det kommer til Event Viewer, er der to typer resultater, som du kan få fra en revision – succes eller fiasko. Men hvad betyder hver enkelt? Her er en hurtig forklaring af hver.
Audit succes
En revisionssucces betyder, at den handling, der revideres, blev gennemført med succes. Dette kan være noget som en bruger, der logger ind på et system, eller en proces, der køres. I det væsentlige alt, hvad du har konfigureret Event Viewer til at spore og rapportere om.
Revisionsfejl
En revisionsfejl betyder på den anden side, at den handling, der revideres, ikke blev gennemført med succes. Dette kan skyldes en række årsager, såsom at der indtastes en forkert adgangskode, eller at en bruger ikke har de nødvendige tilladelser til at udføre handlingen. Igen, alt, hvad du har konfigureret Event Viewer til at spore og rapportere om, kan resultere i en revisionsfejl.
Så der har du det – en hurtig forklaring på revisionssucces og fiasko i Event Viewer. Som altid, hvis du har spørgsmål, er du velkommen til at kontakte vores team af it-eksperter.
For at hjælpe med fejlfinding viser Event Viewer, der er indbygget i Windows-operativsystemet, logfiler over system- og programmeddelelser, der inkluderer fejl, advarsler og specifikke hændelsesoplysninger, som en administrator kan analysere for at træffe passende handlinger. I dette indlæg diskuterer vi Revisionssucces eller revisionsfejl i Event Viewer .
Hvad er revisionssucces eller revisionsfejl i Event Viewer
I begivenhedsfremviseren Succes revision er den hændelse, der logger et vellykket verificeret forsøg på sikker adgang, mens Revisionsfejl er en hændelse, der logger et mislykket forsøg på verificeret sikker adgang. Vi vil diskutere dette emne i følgende underoverskrifter:
- Revisionspolitikker
- Aktiver revisionspolitikker
- Brug begivenhedsfremviseren til at finde kilden til mislykkede eller vellykkede forsøg
- Alternativer til brug af Event Viewer
Lad os se på dette i detaljer.
Revisionspolitikker
Revisionspolitikken definerer de typer hændelser, der skrives til sikkerhedslogfilerne, og disse politikker genererer hændelser, der enten kan lykkes eller mislykkes. Alle revisionspolitikker vil generere Held og lykke begivenheder ; dog vil kun få af dem generere Fejlbegivenheder . Du kan konfigurere to typer revisionspolitikker, nemlig:
- Grundlæggende revisionspolitik har 9 revisionspolitikkategorier og 50 revisionspolitikunderkategorier, der kan aktiveres eller deaktiveres efter behov. Nedenfor er en liste over 9 revisionspolitikkategorier.
- Revidere konto login hændelser
- Revider logonhændelser
- Account Management Audit
- Directory Service Access Audit
- Revision af objektadgang
- Ændring af revisionspolitikken
- Brug af revisionsprivilegier
- Sporing af revisionsprocessen
- Revisionssystemhændelser. Denne politikindstilling bestemmer, om der skal foretages revision, når en bruger genstarter eller lukker computeren ned, eller når der opstår en hændelse, der påvirker enten systemsikkerheden eller sikkerhedsloggen. For mere information og relaterede logonhændelser, se Microsoft-dokumentationen på Learn.microsoft.com/Basic-Audit-System-Events .
- Avanceret revisionspolitik som har 53 kategorier, så det anbefales, da du kan definere en mere detaljeret revisionspolitik og kun logge relevante hændelser, hvilket er særligt nyttigt, når du genererer et stort antal logfiler.
Revisionsfejl opstår typisk, når en login-anmodning mislykkes, selvom de også kan være forårsaget af ændringer i konti, objekter, politikker, privilegier og andre systemhændelser. De to mest almindelige begivenheder er:
- Hændelses-id 4771: Kerberos præ-godkendelse mislykkedes . Denne hændelse genereres kun på domænecontrollere og genereres ikke hvis Kræver ikke Kerberos forhåndsgodkendelse indstillingen er indstillet for kontoen. For mere information om denne begivenhed, og hvordan du løser dette problem, se Microsoft dokumentation .
- Hændelses-id 4625: Kontoen kunne ikke logges ind . Denne hændelse genereres, når et kontologinforsøg mislykkes, og brugeren allerede er låst ude. For mere information om denne begivenhed, og hvordan du løser dette problem, se Microsoft dokumentation .
Læs : Sådan kontrollerer du nedlukning og opstartslog i Windows
Aktiver revisionspolitikker
Du kan aktivere revisionspolitikker på klient- eller servermaskiner gennem Local Group Policy Editor eller Group Policy Management Console, eller Lokal Security Policy Editor . På en Windows-server i dit domæne skal du enten oprette en ny GPO eller redigere en eksisterende GPO.
På klient- eller servercomputeren skal du i Group Policy Editor navigere til følgende sti:
|_+_|På klient- eller servercomputeren skal du i den lokale sikkerhedspolitik navigere til følgende sti:
|_+_|- I revisionspolitikkerne i højre rude skal du dobbeltklikke på den politik, hvis egenskaber du vil ændre.
- I egenskabspanelet kan du aktivere politikken for Held og lykke eller Afvisning i henhold til dit krav.
Læs : Sådan nulstiller du alle lokale gruppepolitikindstillinger til standard i Windows
Brug begivenhedsfremviseren til at finde kilden til mislykkede eller vellykkede forsøg
Administratorer og generelle brugere kan åbne Event Viewer på en lokal eller fjerncomputer med de relevante tilladelser. Hændelsesfremviseren vil nu logge en hændelse, hver gang en fejl- eller succeshændelse opstår, uanset om det er på klientcomputeren eller domænet på serveren. Hændelses-id'et, der udløses ved registrering af en mislykket eller vellykket hændelse, er anderledes (se nedenfor). Revisionspolitikker afsnit ovenfor). Du kan gå til Event Viewer > Journal Windows > Sikkerhed . Panelet i midten viser alle hændelser, der er konfigureret til revision. Du bliver nødt til at se på loggede hændelser for at finde mislykkede eller vellykkede forsøg. Når du har fundet dem, kan du højreklikke på begivenheden og vælge Hændelsesegenskaber Flere detaljer.
Læs : Brug Event Viewer til at kontrollere for uautoriseret brug af en Windows-computer.
Alternativer til brug af Event Viewer
Som et alternativ til at bruge Event Viewer er der adskillige tredjeparts Event Log Manager-software, der kan bruges til at samle og korrelere hændelsesdata fra en række forskellige kilder, herunder cloud-tjenester. En SIEM-løsning er den bedste mulighed, hvis du skal indsamle og analysere data fra firewalls, systemer til forebyggelse af indtrængen (IPS), enheder, applikationer, switches, routere, servere og meget mere.
cutepdf windows 10
Håber du finder dette indlæg informativt nok!
Læs nu : Sådan aktiverer eller deaktiverer du sikker hændelseslogning i Windows
Hvorfor er det vigtigt at kontrollere både vellykkede og mislykkede adgangsforsøg?
Det er afgørende at revidere logonhændelser, uanset om de var succesfulde eller mislykkede, for at opdage indtrængensforsøg, fordi revision af brugerlogon er den eneste måde at opdage alle uautoriserede domænelogonforsøg. Logout-hændelser spores ikke på domænecontrollere. Det er også lige så vigtigt at holde styr på mislykkede filadgangsforsøg, da der oprettes en revisionspost, hver gang en bruger uden held forsøger at få adgang til et filsystemobjekt, der har en matchende SACL. Disse hændelser er nødvendige for at spore aktiviteten af filobjekter, der er følsomme eller værdifulde og kræver yderligere overvågning.
Læs : Styrk Windows login-adgangskodepolitik og kontolåsepolitik
Hvordan aktiveres revisionsfejllogfiler i Active Directory?
For at aktivere revisionsfejllogfiler i Active Directory skal du blot højreklikke på det Active Directory-objekt, du vil kontrollere, og vælge Egenskaber . Vælg Sikkerhed fanen og vælg derefter Fremskreden . Vælg Revidere fanen og vælg derefter Tilføje . Klik på for at se revisionslogfiler i Active Directory Begynde > Systemsikkerhed > Ledelsesværktøjer > Event Viewer . I Active Directory er revision processen med at indsamle og analysere AD-objekter og gruppepolitikdata for proaktivt at forbedre sikkerheden, hurtigt opdage og reagere på trusler og holde it-drift kørende.
