Pagdating sa Event Viewer, mayroong dalawang uri ng mga resulta na makukuha mo mula sa isang pag-audit – tagumpay o pagkabigo. Ngunit ano ang ibig sabihin ng bawat isa? Narito ang isang mabilis na paliwanag ng bawat isa.
Tagumpay sa Pag-audit
Ang isang tagumpay sa pag-audit ay nangangahulugan na ang pagkilos na sinusuri ay matagumpay na nakumpleto. Ito ay maaaring isang bagay tulad ng isang user na nagla-log in sa isang system, o isang prosesong pinapatakbo. Sa pangkalahatan, anumang bagay na iyong na-configure na Viewer ng Kaganapan upang subaybayan at iulat.
Pagkabigo sa Audit
Ang pagkabigo sa pag-audit, sa kabilang banda, ay nangangahulugan na ang pagkilos na sinusuri ay hindi matagumpay na nakumpleto. Ito ay maaaring dahil sa ilang mga kadahilanan, tulad ng isang maling password na ipinasok, o isang user na walang kinakailangang mga pahintulot upang maisagawa ang pagkilos. Muli, ang anumang bagay na na-configure mo sa Viewer ng Kaganapan upang subaybayan at iulat ay maaaring magresulta sa isang pagkabigo sa pag-audit.
Kaya't mayroon ka na - isang mabilis na paliwanag ng tagumpay at pagkabigo sa pag-audit sa Viewer ng Kaganapan. Gaya ng nakasanayan, kung mayroon kang anumang mga katanungan, huwag mag-atubiling makipag-ugnayan sa aming pangkat ng mga eksperto sa IT.
Upang tumulong sa pag-troubleshoot, ang Event Viewer na nakapaloob sa Windows operating system ay nagpapakita ng mga log ng system at mga mensahe ng application na may kasamang mga error, babala, at partikular na impormasyon ng kaganapan na maaaring suriin ng isang administrator upang makagawa ng naaangkop na pagkilos. Sa post na ito tinatalakay natin Tagumpay sa Pag-audit o Pagkabigo sa Pag-audit sa Viewer ng Kaganapan .
Ano ang Tagumpay sa Pag-audit o Pagkabigo sa Pag-audit sa Viewer ng Kaganapan
Sa viewer ng kaganapan Tagumpay na pag-audit ay ang kaganapang nagla-log ng matagumpay na na-verify na secure na pagtatangka sa pag-access, habang Error sa pag-audit ay isang kaganapan na nagla-log ng isang hindi matagumpay na pagtatangka sa na-verify na secure na pag-access. Tatalakayin natin ang paksang ito sa mga sumusunod na subheading:
- Mga Patakaran sa Pag-audit
- Paganahin ang mga patakaran sa pag-audit
- Gamitin ang viewer ng kaganapan upang mahanap ang pinagmulan ng mga nabigo o matagumpay na pagtatangka
- Mga Alternatibo sa Paggamit ng Event Viewer
Tingnan natin ito nang detalyado.
Mga Patakaran sa Pag-audit
Tinutukoy ng patakaran sa pag-audit ang mga uri ng mga kaganapan na nakasulat sa mga log ng seguridad, at ang mga patakarang ito ay bumubuo ng mga kaganapan na maaaring magtagumpay o mabigo. Ang lahat ng mga patakaran sa pag-audit ay bubuo Good luck mga pangyayari ; gayunpaman, iilan lamang sa kanila ang bubuo Mga kaganapan sa pagkabigo . Maaari mong i-configure ang dalawang uri ng mga patakaran sa pag-audit, katulad ng:
- Pangunahing patakaran sa pag-audit ay mayroong 9 na kategorya ng patakaran sa pag-audit at 50 na subcategory ng patakaran sa pag-audit na maaaring i-enable o i-disable kung kinakailangan. Nasa ibaba ang isang listahan ng 9 na kategorya ng patakaran sa pag-audit.
- I-audit ang mga kaganapan sa pag-log in sa account
- Audit Logon Events
- Audit sa Pamamahala ng Account
- Audit sa Pag-access sa Serbisyo ng Direktoryo
- Pag-audit sa pag-access sa bagay
- Pagbabago ng patakaran sa pag-audit
- Paggamit ng Pribilehiyo sa Pag-audit
- Pagsubaybay sa proseso ng pag-audit
- Mga kaganapan sa sistema ng pag-audit. Tinutukoy ng setting ng patakarang ito kung mag-audit kapag ang isang user ay nag-restart o nag-shut down ng computer, o kapag may nangyaring kaganapan na nakakaapekto sa alinman sa seguridad ng system o ang log ng seguridad. Para sa higit pang impormasyon at kaugnay na mga kaganapan sa pag-logon, tingnan ang dokumentasyon ng Microsoft sa Learn.microsoft.com/Basic-Audit-System-Events .
- Advanced na patakaran sa pag-audit na mayroong 53 kategorya, kaya inirerekomenda dahil maaari kang tumukoy ng mas granular na patakaran sa pag-audit at mag-log lamang ng mga nauugnay na kaganapan, na partikular na kapaki-pakinabang kapag bumubuo ng malaking bilang ng mga log.
Karaniwang nangyayari ang mga error sa pag-audit kapag nabigo ang isang kahilingan sa pag-log in, bagama't maaari rin itong sanhi ng mga pagbabago sa mga account, bagay, patakaran, pribilehiyo, at iba pang mga kaganapan sa system. Ang dalawang pinakakaraniwang kaganapan ay:
- Event ID 4771: Nabigo ang pre-authentication ng Kerberos . Ang kaganapang ito ay nabuo lamang sa mga controller ng domain at hindi nabuo kung Huwag mangailangan ng paunang pagpapatunay ng Kerberos ang opsyon ay nakatakda para sa account. Para sa higit pang impormasyon tungkol sa kaganapang ito at kung paano lutasin ang isyung ito, tingnan Dokumentasyon ng Microsoft .
- Event ID 4625: Nabigong mag-sign in sa account . Nabubuo ang kaganapang ito kapag nabigo ang isang pagtatangka sa pag-log in sa account at naka-lock out na ang user. Para sa higit pang impormasyon tungkol sa kaganapang ito at kung paano lutasin ang isyung ito, tingnan Dokumentasyon ng Microsoft .
Basahin : Paano suriin ang shutdown at startup log sa Windows
Paganahin ang mga patakaran sa pag-audit
Maaari mong paganahin ang mga patakaran sa pag-audit sa mga client o server machine sa pamamagitan ng Local Group Policy Editor o ang Group Policy Management Console, o Editor ng Patakaran sa Lokal na Seguridad . Sa isang server ng Windows sa iyong domain, lumikha ng bagong GPO o mag-edit ng kasalukuyang GPO.
Sa client o server computer, sa Group Policy Editor, mag-navigate sa sumusunod na path:
|_+_|Sa client o server computer, sa lokal na patakaran sa seguridad, mag-navigate sa sumusunod na landas:
|_+_|- Sa Mga Patakaran sa Pag-audit sa kanang pane, i-double click ang patakaran na ang mga katangian ay gusto mong baguhin.
- Sa panel ng mga katangian, maaari mong paganahin ang patakaran para sa Good luck o Pagtanggi ayon sa iyong pangangailangan.
Basahin : Paano i-reset ang lahat ng mga setting ng patakaran ng lokal na grupo sa default sa Windows
Gamitin ang viewer ng kaganapan upang mahanap ang pinagmulan ng mga nabigo o matagumpay na pagtatangka
Maaaring buksan ng mga administrator at pangkalahatang user ang Event Viewer sa isang lokal o malayong computer na may naaangkop na mga pahintulot. Ang viewer ng kaganapan ay magla-log na ngayon ng isang kaganapan sa tuwing may kabiguan o tagumpay na kaganapan na magaganap, maging sa computer ng kliyente o domain sa server. Iba ang event ID na pinapagana kapag nagrerehistro ng nabigo o matagumpay na kaganapan (tingnan sa ibaba). Mga Patakaran sa Pag-audit seksyon sa itaas). Maaari kang pumunta sa Viewer ng Kaganapan > Journal Windows > Kaligtasan . Inililista ng panel sa gitna ang lahat ng kaganapang na-configure para sa pag-audit. Kakailanganin mong tingnan ang mga naka-log na kaganapan upang mahanap ang mga nabigo o matagumpay na pagtatangka. Kapag nahanap mo na sila, maaari kang mag-right click sa kaganapan at pumili Mga katangian ng kaganapan Higit pang mga detalye.
Basahin : Gamitin ang Event Viewer upang suriin kung may hindi awtorisadong paggamit ng isang Windows computer.
Mga Alternatibo sa Paggamit ng Event Viewer
Bilang alternatibo sa paggamit ng Event Viewer, mayroong ilang third-party na software ng Event Log Manager na magagamit upang pagsama-samahin at pag-ugnayin ang data ng kaganapan mula sa iba't ibang source, kabilang ang mga serbisyo sa cloud. Ang solusyon sa SIEM ay ang pinakamagandang opsyon kung kailangan mong mangolekta at magsuri ng data mula sa mga firewall, intrusion prevention system (IPS), device, application, switch, router, server, at higit pa.
CutePDF windows 10
Sana mahanap mo ang post na ito na sapat na impormasyon!
Ngayon basahin : Paano i-enable o i-disable ang secure na event logging sa Windows
Bakit mahalagang suriin ang parehong matagumpay at nabigong mga pagtatangka sa pag-access?
Mahalagang i-audit ang mga kaganapan sa pag-logon, matagumpay man o hindi, upang matukoy ang mga pagtatangka ng panghihimasok, dahil ang pag-audit ng mga logon ng user ay ang tanging paraan upang matukoy ang lahat ng hindi awtorisadong pagtatangka sa pag-logon ng domain. Ang mga kaganapan sa pag-logout ay hindi sinusubaybayan sa mga controller ng domain. Mahalaga rin na subaybayan ang mga nabigong pagtatangka sa pag-access ng file, dahil ang isang entry sa pag-audit ay nagagawa sa tuwing hindi matagumpay na sinusubukan ng sinumang user na i-access ang isang object ng file system na may katugmang SACL. Ang mga kaganapang ito ay kinakailangan upang subaybayan ang aktibidad ng mga file object na sensitibo o mahalaga at nangangailangan ng karagdagang pagsubaybay.
Basahin : Palakasin ang Windows login password policy at account lockout policy
Paano paganahin ang mga log ng error sa pag-audit sa Active Directory?
Upang paganahin ang mga log ng error sa pag-audit sa Active Directory, i-right-click lang sa object ng Active Directory na gusto mong suriin at piliin Mga katangian . Pumili Kaligtasan tab at pagkatapos ay piliin Advanced . Pumili Pag-audit tab at pagkatapos ay piliin Idagdag . Upang tingnan ang mga audit log sa Active Directory, i-click Magsimula > Seguridad ng System > Mga tool sa pamamahala > Viewer ng Kaganapan . Sa Active Directory, ang pag-audit ay ang proseso ng pagkolekta at pagsusuri ng mga bagay sa AD at data ng Patakaran ng Grupo upang aktibong mapabuti ang seguridad, mabilis na matukoy at tumugon sa mga banta, at mapanatiling maayos ang pagpapatakbo ng IT.
