Меню

Аудит системы настройка службы событий

Аудит других системных событий Audit Other System Events

Относится к: Applies to

Аудит других системных событий содержит события запуска и остановки драйвера брандмауэра Windows и брандмауэра Windows, события сбоев для этих служб и сбои обработки политики брандмауэра Windows. Audit Other System Events contains Windows Firewall Service and Windows Firewall driver start and stop events, failure events for these services and Windows Firewall Service policy processing failures.

Аудит других системных событий определяет, проводит ли операционная система аудит различных системных событий. Audit Other System Events determines whether the operating system audits various system events.

Системные события в этой категории включают: The system events in this category include:

Запуск и завершение работы службы и драйвера брандмауэра Windows. Startup and shutdown of the Windows Firewall service and driver.

Обработка политики безопасности службой брандмауэра Windows. Security policy processing by the Windows Firewall service.

Операции с файлом ключа шифрования и миграцией. Cryptography key file and migration operations.

События BranchCache. BranchCache events.

Объем события: низкий. Event volume: Low.

Тип компьютера Computer Type Общий успех General Success Общий сбой General Failure Более успешный Stronger Success Более сильное сбой Stronger Failure Комментарии Comments
Контроллер домена Domain Controller Да Yes Да Yes Да Yes Да Yes Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events.
Сервер-член Member Server Да Yes Да Yes Да Yes Да Yes Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events.
Workstation Workstation Да Yes Да Yes Да Yes Да Yes Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events.

Список событий: Events List:

5024(S): служба брандмауэра Windows успешно запущена. 5024(S): The Windows Firewall Service has started successfully.

5025(S): служба брандмауэра Windows остановлена. 5025(S): The Windows Firewall Service has been stopped.

5027(F): службе брандмауэра Windows не удалось извлечь политику безопасности из локального хранилища. 5027(F): The Windows Firewall Service was unable to retrieve the security policy from the local storage. Служба может продолжить применять текущую политику. The service will continue enforcing the current policy.

5028(F): службе брандмауэра Windows не удалось разлить новую политику безопасности. 5028(F): The Windows Firewall Service was unable to parse the new security policy. Служба продолжит применять текущую политику. The service will continue with currently enforced policy.

5029(F): службе брандмауэра Windows не удалось инициализировать драйвер. 5029(F): The Windows Firewall Service failed to initialize the driver. Служба продолжит применять текущую политику. The service will continue to enforce the current policy.

5030(F): не удалось запустить службу брандмауэра Windows. 5030(F): The Windows Firewall Service failed to start.

5032(F): брандмауэру Windows не удалось уведомить пользователя о том, что приложение не может принимать входящие подключения в сети. 5032(F): Windows Firewall was unable to notify the user that it blocked an application from accepting incoming connections on the network.

5033(S): драйвер брандмауэра Windows успешно запущен. 5033(S): The Windows Firewall Driver has started successfully.

5034(S): драйвер брандмауэра Windows остановлен. 5034(S): The Windows Firewall Driver was stopped.

5035(F): не удалось запустить драйвер брандмауэра Windows. 5035(F): The Windows Firewall Driver failed to start.

5037(F): драйвер брандмауэра Windows обнаружил критическую ошибку времени работы. 5037(F): The Windows Firewall Driver detected critical runtime error. Завершение работы. Terminating.

5058(S, F): операция с файлом ключа. 5058(S, F): Key file operation.

5059(S, F): операция переноса ключей. 5059(S, F): Key migration operation.

6400(-): BranchCache: получен неправильно отформатированный ответ при обнаружении доступности контента. 6400(-): BranchCache: Received an incorrectly formatted response while discovering availability of content.

6401(-): BranchCache: получено недопустимые данные от одноранговой сети. 6401(-): BranchCache: Received invalid data from a peer. Данные удалены. Data discarded.

6402(-): BranchCache: сообщение в кэш, предоставляющий данные, неправильно отформатировано. 6402(-): BranchCache: The message to the hosted cache offering it data is incorrectly formatted.

6403(-): BranchCache: hosted cache sent an incorrectly formatted response to the client. 6403(-): BranchCache: The hosted cache sent an incorrectly formatted response to the client.

6404(-): BranchCache: hosted cache could not be authenticated using the provisioned SSL certificate. 6404(-): BranchCache: Hosted cache could not be authenticated using the provisioned SSL certificate.

6405(-): BranchCache: произошло %2 экземпляра события с ид %1. 6405(-): BranchCache: %2 instance(s) of event id %1 occurred.

6406(-): %1 зарегистрирован в брандмауэре Windows для управления фильтрацией для следующего: %2 6406(-): %1 registered to Windows Firewall to control filtering for the following: %2

6408(-): сбой зарегистрированного продукта %1, и брандмауэр Windows теперь управляет фильтрацией для %2 6408(-): Registered product %1 failed and Windows Firewall is now controlling the filtering for %2

6409(-): BranchCache: не удалось разлить объект точки подключения службы. 6409(-): BranchCache: A service connection point object could not be parsed.

Источник

Аудит события входа Audit logon events

Относится к: Applies to

Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.

События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа в систему, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

События для логотипа Logon events Описание Description
4624 4624 Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below.
4625 4625 Ошибка при работе с логотипом. Logon failure. Была предпринята попытка доступа к учетной записи с неизвестным именем пользователя или неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password.
4634 4634 Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user.
4647 4647 Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process.
4648 4648 Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, уже вы вошли как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user.
4779 4779 Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off.

При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.

Источник

Мониторинг

Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) » Просмотр событий » позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в » Просмотре событий «. Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки » Общие «, имеется также закладка » Фильтр «, позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):

Можно установить правила отбора:

На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы » Журнал событий ).

Вернуться к полному просмотру всех событий можно, выбрав в меню » Вид » команду » Все записи » (рис. 16.7):

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале » Безопасность «.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения » Контроллеры домена «.

Рассмотрим параметры этого раздела:

Аудит доступа к объектам

Рассмотрим подробнее аудит доступа к объектам. Необходимость регистрации событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном сервере или рабочей станции политики аудита доступа к объектам отключены. Включим данные политики (на уровне сайта, домена или нужного нам ОП) — откроем данный параметр в редакторе политик и установим регистрацию как успешных, так и неуспешных попыток доступа к объектам (рис. 16.9).

Теперь для проверки работы механизма аудита удалим какой-нибудь файл в этой папке, а затем просмотрим соответствующие события, появившиеся в журнале » Безопасность «. Пример события, зарегистрировавшего в журнале безопасности удаление файла » Документ.doc «, показан на рис. 16.11 и 16.12:

На рис. 16.11 видно, что пользователь Администратор получил успешный доступ к файлу » H:\Folder1\Документ.doc » на компьютере DC1, а на рис. 16.12 показан вид доступа — DELETE ( Удаление ).

Не рекомендуем злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т.к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам — настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

Источник

Читайте также:  Настройка гитары ре диез