Når det gjelder Event Viewer, er det to typer resultater du kan få fra en revisjon – suksess eller fiasko. Men hva betyr hver enkelt? Her er en rask forklaring av hver.
Revisjonssuksess
En revisjonssuksess betyr at handlingen som blir revidert ble fullført. Dette kan være noe sånt som en bruker som logger på et system, eller en prosess som kjøres. I hovedsak alt du har konfigurert Event Viewer til å spore og rapportere om.
Revisjonsfeil
En revisjonssvikt betyr på den annen side at handlingen som blir revidert ikke ble fullført. Dette kan skyldes en rekke årsaker, for eksempel at feil passord er angitt, eller at en bruker ikke har de nødvendige tillatelsene til å utføre handlingen. Igjen, alt du har konfigurert Event Viewer til å spore og rapportere om kan resultere i en revisjonsfeil.
Så der har du det – en rask forklaring på revisjonssuksess og fiasko i Event Viewer. Som alltid, hvis du har spørsmål, ta gjerne kontakt med teamet vårt av IT-eksperter.
For å hjelpe til med feilsøking viser Event Viewer innebygd i Windows-operativsystemet logger over system- og programmeldinger som inkluderer feil, advarsler og spesifikk hendelsesinformasjon som en administrator kan analysere for å iverksette passende tiltak. I dette innlegget diskuterer vi Revisjonssuksess eller revisjonsfeil i Event Viewer .
Hva er revisjonssuksess eller revisjonsfeil i Event Viewer
I hendelsesvisningen Suksessrevisjon er hendelsen som logger et vellykket verifisert sikker tilgangsforsøk, mens Revisjonsfeil er en hendelse som logger et mislykket forsøk på bekreftet sikker tilgang. Vi vil diskutere dette emnet i følgende underoverskrifter:
- Revisjonspolicyer
- Aktiver revisjonspolicyer
- Bruk hendelsesvisningen til å finne kilden til mislykkede eller vellykkede forsøk
- Alternativer til å bruke Event Viewer
La oss se på dette i detalj.
Revisjonspolicyer
Revisjonspolicyen definerer typene hendelser som skrives til sikkerhetsloggene, og disse policyene genererer hendelser som enten kan lykkes eller mislykkes. Alle revisjonspolicyer vil generere Lykke til arrangementer ; imidlertid vil bare noen få av dem generere Feilhendelser . Du kan konfigurere to typer revisjonspolicyer, nemlig:
- Grunnleggende revisjonspolicy har 9 revisjonspolicykategorier og 50 revisjonspolicyunderkategorier som kan aktiveres eller deaktiveres etter behov. Nedenfor er en liste over 9 kategorier av revisjonspolitikk.
- Revidere kontopåloggingshendelser
- Overvåke påloggingshendelser
- Account Management Revisjon
- Katalogtjenestetilgangsrevisjon
- Revisjon av objekttilgang
- Endring av revisjonspolicy
- Revisjonsrettighetsbruk
- Spore revisjonsprosessen
- Revisjonssystemhendelser. Denne policyinnstillingen bestemmer om den skal overvåkes når en bruker starter på nytt eller slår av datamaskinen, eller når en hendelse oppstår som påvirker enten systemsikkerheten eller sikkerhetsloggen. For mer informasjon og relaterte påloggingshendelser, se Microsoft-dokumentasjonen på Learn.microsoft.com/Basic-Audit-System-Events .
- Avansert revisjonspolicy som har 53 kategorier, så anbefales da du kan definere en mer detaljert revisjonspolicy og bare logge relevante hendelser, noe som er spesielt nyttig når du genererer et stort antall logger.
Revisjonsfeil oppstår vanligvis når en påloggingsforespørsel mislykkes, selv om de også kan være forårsaket av endringer i kontoer, objekter, policyer, privilegier og andre systemhendelser. De to vanligste hendelsene er:
- Hendelses-ID 4771: Kerberos forhåndsgodkjenning mislyktes . Denne hendelsen genereres bare på domenekontrollere og genereres ikke hvis Krever ikke Kerberos forhåndsgodkjenning alternativet er satt for kontoen. For mer informasjon om denne hendelsen og hvordan du løser dette problemet, se Microsoft dokumentasjon .
- Hendelses-ID 4625: Kunne ikke logge på kontoen . Denne hendelsen genereres når et kontopåloggingsforsøk mislykkes og brukeren allerede er utestengt. For mer informasjon om denne hendelsen og hvordan du løser dette problemet, se Microsoft dokumentasjon .
Lese : Hvordan sjekke avslutning og oppstartslogg i Windows
Aktiver revisjonspolicyer
Du kan aktivere revisjonspolicyer på klient- eller servermaskiner gjennom Local Group Policy Editor eller Group Policy Management Console, eller Editor for lokal sikkerhetspolicy . På en Windows-server i domenet ditt kan du enten opprette en ny GPO eller redigere en eksisterende GPO.
På klient- eller serverdatamaskinen, i Group Policy Editor, naviger til følgende bane:
|_+_|På klient- eller serverdatamaskinen, i den lokale sikkerhetspolicyen, naviger til følgende bane:
|_+_|- I Revisjonspolicyer i høyre rute dobbeltklikker du policyen hvis egenskaper du vil endre.
- I egenskapspanelet kan du aktivere policyen for Lykke til eller Avslag i henhold til ditt krav.
Lese : Slik tilbakestiller du alle lokale gruppepolicyinnstillinger til standard i Windows
Bruk hendelsesvisningen til å finne kilden til mislykkede eller vellykkede forsøk
Administratorer og generelle brukere kan åpne Event Viewer på en lokal eller ekstern datamaskin med de riktige tillatelsene. Hendelsesvisningen vil nå logge en hendelse hver gang en feil eller suksesshendelse oppstår, enten det er på klientdatamaskinen eller domenet på serveren. Hendelses-IDen som utløses når du registrerer en mislykket eller vellykket hendelse er forskjellig (se nedenfor). Revisjonspolicyer avsnittet ovenfor). Du kan gå til Event Viewer > Journal Windows > Sikkerhet . Panelet i senteret viser alle hendelser som er konfigurert for revisjon. Du må se på loggede hendelser for å finne mislykkede eller vellykkede forsøk. Når du har funnet dem, kan du høyreklikke på arrangementet og velge Hendelsesegenskaper Mer informasjon.
Lese : Bruk Event Viewer for å se etter uautorisert bruk av en Windows-datamaskin.
Alternativer til å bruke Event Viewer
Som et alternativ til å bruke Event Viewer, er det flere tredjeparts Event Log Manager-programvare som kan brukes til å samle og korrelere hendelsesdata fra en rekke kilder, inkludert skytjenester. En SIEM-løsning er det beste alternativet hvis du trenger å samle inn og analysere data fra brannmurer, inntrengningsforebyggende systemer (IPS), enheter, applikasjoner, svitsjer, rutere, servere og mer.
cutepdf windows 10
Håper du finner dette innlegget informativt nok!
Les nå : Hvordan aktivere eller deaktivere sikker hendelseslogging i Windows
Hvorfor er det viktig å sjekke både vellykkede og mislykkede tilgangsforsøk?
Det er avgjørende å overvåke påloggingshendelser, enten de var vellykkede eller mislykkede, for å oppdage inntrengingsforsøk, fordi overvåking av brukerpålogginger er den eneste måten å oppdage alle uautoriserte domenepåloggingsforsøk. Utloggingshendelser spores ikke på domenekontrollere. Det er også like viktig å holde styr på mislykkede filtilgangsforsøk, siden en revisjonsoppføring opprettes hver gang en bruker uten hell forsøker å få tilgang til et filsystemobjekt som har en samsvarende SACL. Disse hendelsene er nødvendige for å spore aktiviteten til filobjekter som er sensitive eller verdifulle og krever ekstra overvåking.
Lese : Styrk retningslinjene for Windows-påloggingspassord og policy for kontolåsing
Hvordan aktiverer jeg revisjonsfeillogger i Active Directory?
For å aktivere revisjonsfeillogger i Active Directory, høyreklikk ganske enkelt på Active Directory-objektet du vil sjekke og velg Kjennetegn . Plukke ut Sikkerhet og velg deretter Avansert . Plukke ut Revidere og velg deretter Legg til . For å se revisjonslogger i Active Directory, klikk Begynn > Systemsikkerhet > Administrasjonsverktøy > Event Viewer . I Active Directory er revisjon prosessen med å samle inn og analysere AD-objekter og gruppepolicydata for å proaktivt forbedre sikkerheten, raskt oppdage og svare på trusler og holde IT-driften jevn.
