Kas ir audita panākumi vai audita kļūme notikumu skatītājā

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Runājot par notikumu skatītāju, auditā var iegūt divu veidu rezultātus — veiksmi vai neveiksmi. Bet ko nozīmē katrs no tiem? Šeit ir ātrs skaidrojums par katru.



Revīzijas panākumi

Revīzijas panākumi nozīmē, ka auditējamā darbība ir veiksmīgi pabeigta. Tas varētu būt kaut kas līdzīgs lietotājam, kas piesakās sistēmā, vai process, kas tiek palaists. Būtībā viss, ko esat konfigurējis notikumu skatītājā, lai izsekotu un par ko ziņotu.



Audita kļūme

Savukārt audita kļūme nozīmē, ka auditējamā darbība nav sekmīgi pabeigta. Tas var būt saistīts ar vairākiem iemesliem, piemēram, nepareizas paroles ievadīšanu vai lietotājam, kuram nav nepieciešamo atļauju darbības veikšanai. Atkal viss, ko esat konfigurējis notikumu skatītājā, lai izsekotu un ziņotu par to, var izraisīt audita kļūmi.



Tātad, īss paskaidrojums par audita panākumiem un neveiksmēm notikumu skatītājā. Kā vienmēr, ja jums ir kādi jautājumi, droši sazinieties ar mūsu IT ekspertu komandu.



Lai palīdzētu novērst problēmas, Windows operētājsistēmā iebūvētais notikumu skatītājs parāda sistēmas un lietojumprogrammu ziņojumu žurnālus, kas ietver kļūdas, brīdinājumus un konkrētu notikumu informāciju, ko administrators var analizēt, lai veiktu atbilstošu darbību. Šajā amatā mēs apspriežam Revīzijas panākumi vai audita kļūme notikumu skatītājā .

Kas ir audita panākumi vai audita kļūme notikumu skatītājā



Kas ir audita panākumi vai audita kļūme notikumu skatītājā

Pasākumu skatītājā Veiksmes audits ir notikums, kas reģistrē veiksmīgu pārbaudītu drošas piekļuves mēģinājumu, kamēr Audita kļūda ir notikums, kas reģistrē neveiksmīgu pārbaudītas drošas piekļuves mēģinājumu. Mēs apspriedīsim šo tēmu šādās apakšvirsrakstā:

  1. Revīzijas politikas
  2. Iespējot audita politikas
  3. Izmantojiet notikumu skatītāju, lai atrastu neveiksmīgo vai veiksmīgo mēģinājumu avotu
  4. Alternatīvas notikumu skatītāja lietošanai

Apskatīsim to sīkāk.

Revīzijas politikas

Audita politika nosaka notikumu veidus, kas tiek ierakstīti drošības žurnālos, un šīs politikas ģenerē notikumus, kas var būt veiksmīgi vai neizdoties. Visas revīzijas politikas tiks ģenerētas Veiksmi notikumiem ; tomēr tikai daži no tiem radīs Neveiksmes notikumi . Varat konfigurēt divu veidu audita politikas, proti:

  • Pamata revīzijas politika ir 9 audita politikas kategorijas un 50 audita politikas apakškategorijas, kuras var iespējot vai atspējot pēc vajadzības. Zemāk ir saraksts ar 9 revīzijas politikas kategorijām.
    • Audita konta pieteikšanās notikumus
    • Pieteikšanās notikumu audits
    • Konta pārvaldības audits
    • Direktoriju pakalpojuma piekļuves audits
    • Objektu piekļuves audits
    • Audita politikas maiņa
    • Audita privilēģiju izmantošana
    • Audita procesa izsekošana
    • Audita sistēmas notikumi. Šis politikas iestatījums nosaka, vai veikt auditu, kad lietotājs restartē vai izslēdz datoru, vai kad notiek notikums, kas ietekmē sistēmas drošību vai drošības žurnālu. Lai iegūtu papildinformāciju un saistītos pieteikšanās notikumus, skatiet Microsoft dokumentāciju vietnē Learn.microsoft.com/Basic-Audit-System-Events .
  • Uzlabota audita politika kurā ir 53 kategorijas, tāpēc ieteicams definēt detalizētāku audita politiku un reģistrēt tikai atbilstošos notikumus, kas ir īpaši noderīgi, ģenerējot lielu skaitu žurnālu.

Audita kļūdas parasti rodas, ja pieteikšanās pieprasījums neizdodas, lai gan tās var izraisīt arī izmaiņas kontos, objektos, politikās, privilēģijās un citos sistēmas notikumos. Divi visizplatītākie notikumi ir:

  • Notikuma ID 4771: Kerberos iepriekšēja autentifikācija neizdevās . Šis notikums tiek ģenerēts tikai domēna kontrolleros un netiek ģenerēts, ja Neprasa Kerberos iepriekšēju autentifikāciju kontam ir iestatīta opcija. Papildinformāciju par šo notikumu un šīs problēmas risināšanu skatiet sadaļā Microsoft dokumentācija .
  • Notikuma ID 4625: neizdevās pierakstīties kontā . Šis notikums tiek ģenerēts, kad pieteikšanās kontā neizdodas un lietotājs jau ir bloķēts. Papildinformāciju par šo notikumu un šīs problēmas risināšanu skatiet sadaļā Microsoft dokumentācija .

Lasīt : Kā pārbaudīt izslēgšanas un palaišanas žurnālu sistēmā Windows

Iespējot audita politikas

Iespējot audita politikas

Varat iespējot audita politikas klienta vai servera mašīnās, izmantojot vietējo grupas politikas redaktoru vai grupas politikas pārvaldības konsoli, vai Vietējās drošības politikas redaktors . Windows serverī savā domēnā izveidojiet jaunu GPO vai rediģējiet esošu GPO.

Klienta vai servera datorā grupas politikas redaktorā dodieties uz šādu ceļu:

|_+_|

Klienta vai servera datorā vietējā drošības politikā pārejiet uz šādu ceļu:

|_+_|
  • Labajā rūtī esošajā Audita politikas veiciet dubultklikšķi uz politikas, kuras rekvizītus vēlaties mainīt.
  • Rekvizītu panelī varat iespējot politiku Veiksmi vai Noraidījums atbilstoši jūsu prasībām.

Lasīt : kā atiestatīt visus vietējās grupas politikas iestatījumus uz noklusējuma iestatījumiem sistēmā Windows

Izmantojiet notikumu skatītāju, lai atrastu neveiksmīgo vai veiksmīgo mēģinājumu avotu

Izmantojiet notikumu skatītāju, lai atrastu neveiksmīgu vai veiksmīgu notikumu avotu.

Administratori un vispārējie lietotāji var atvērt notikumu skatītāju lokālā vai attālā datorā ar atbilstošām atļaujām. Notikumu skatītājs tagad reģistrēs notikumu katru reizi, kad notiek kļūme vai veiksmīgs notikums klienta datorā vai servera domēnā. Notikuma ID, kas tiek aktivizēts, reģistrējot neveiksmīgu vai veiksmīgu notikumu, ir atšķirīgs (skatiet tālāk). Revīzijas politikas sadaļu iepriekš). Jūs varat doties uz Notikumu skatītājs > Žurnāls Windows > Drošība . Centrā esošajā panelī ir uzskaitīti visi notikumi, kas konfigurēti auditēšanai. Jums būs jāaplūko reģistrētie notikumi, lai atrastu neveiksmīgus vai veiksmīgus mēģinājumus. Kad esat tos atradis, varat ar peles labo pogu noklikšķināt uz notikuma un atlasīt Pasākuma rekvizīti Skatīt vairāk.

Lasīt : izmantojiet notikumu skatītāju, lai pārbaudītu, vai Windows dators nav izmantots nesankcionēti.

Alternatīvas notikumu skatītāja lietošanai

Kā alternatīva Event Viewer izmantošanai ir vairākas trešās puses Event Log Manager programmatūras, ko var izmantot, lai apkopotu un korelētu notikumu datus no dažādiem avotiem, tostarp mākoņpakalpojumiem. SIEM risinājums ir labākais risinājums, ja nepieciešams apkopot un analizēt datus no ugunsmūriem, ielaušanās novēršanas sistēmām (IPS), ierīcēm, lietojumprogrammām, slēdžiem, maršrutētājiem, serveriem un citiem.

cutepdf logi 10

Ceru, ka šis ieraksts jums šķitīs pietiekami informatīvs!

Tagad lasiet : kā iespējot vai atspējot drošu notikumu reģistrēšanu sistēmā Windows

Kāpēc ir svarīgi pārbaudīt gan veiksmīgos, gan neveiksmīgos piekļuves mēģinājumus?

Ir ļoti svarīgi pārbaudīt pieteikšanās notikumus neatkarīgi no tā, vai tie bija veiksmīgi vai neveiksmīgi, lai atklātu ielaušanās mēģinājumus, jo lietotāju pieteikšanās audits ir vienīgais veids, kā noteikt visus neautorizētos domēna pieteikšanās mēģinājumus. Atteikšanās notikumi netiek izsekoti domēna kontrolleros. Vienlīdz svarīgi ir arī sekot līdzi neveiksmīgiem faila piekļuves mēģinājumiem, jo ​​audita ieraksts tiek izveidots katru reizi, kad kāds lietotājs neveiksmīgi mēģina piekļūt failu sistēmas objektam, kuram ir atbilstošs SACL. Šie notikumi ir nepieciešami, lai izsekotu sensitīvu vai vērtīgu failu objektu darbību, kuriem nepieciešama papildu uzraudzība.

Lasīt : nostipriniet Windows pieteikšanās paroles politiku un konta bloķēšanas politiku

Kā Active Directory iespējot audita kļūdu žurnālus?

Lai Active Directory iespējotu audita kļūdu žurnālus, vienkārši ar peles labo pogu noklikšķiniet uz Active Directory objekta, kuru vēlaties pārbaudīt, un atlasiet to Raksturlielumi . Izvēlieties Drošība cilni un pēc tam atlasiet Papildu . Izvēlieties Audits cilni un pēc tam atlasiet Pievienot . Lai skatītu audita žurnālus programmā Active Directory, noklikšķiniet uz Sāciet > Sistēmas drošība > Pārvaldības rīki > Notikumu skatītājs . Programmā Active Directory auditēšana ir AD objektu un grupas politikas datu vākšanas un analīzes process, lai proaktīvi uzlabotu drošību, ātri atklātu draudus un reaģētu uz tiem, kā arī nodrošinātu IT darbību nevainojamu darbību.

Kategorija
Notikumu Žurnāli
Ieteicams
Kā meklēt tiešsaistes veidnes programmā Microsoft Word
Kā meklēt tiešsaistes veidnes programmā Microsoft Word
Birojs
Kā atspējot Chrome profila atlasītāju startēšanas laikā
Kā atspējot Chrome profila atlasītāju startēšanas laikā
Chrome
Printera konfigurācijas kļūda 0x80004005 [Fiksēts]
Printera konfigurācijas kļūda 0x80004005 [Fiksēts]
Printeris
Steam serveri pašlaik nav pieejami. Lūdzu, pamēģiniet vēlreiz vēlāk.
Steam serveri pašlaik nav pieejami. Lūdzu, pamēģiniet vēlreiz vēlāk.
Pavārs Pārim
Populārākas Posts
Par Mums
Prankmike Sniedz Padomus, Norādījumus, Instrukcijas, Windows 10, Funkcijām Un Bezmaksas Programmatūru.
Kategorijas
Visvairāk Skatīts
Copyright © 2024Visas Tiesības Aizsargātas | prankmike.com | Privātuma Politika