Mit jelent az Eseménynaplóban az auditálási siker vagy az ellenőrzési hiba?

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Ha az Eseménynaplóról van szó, kétféle eredmény érhető el egy audit során – siker vagy kudarc. De mit jelent mindegyik? Íme mindegyikhez egy gyors magyarázat.



Audit Siker

A sikeres ellenőrzés azt jelenti, hogy az auditált művelet sikeresen befejeződött. Ez olyasmi lehet, mint egy felhasználó bejelentkezése a rendszerbe, vagy egy folyamatban lévő folyamat. Lényegében bármi, aminek nyomon követésére és jelentésre állította be az Eseménynaplót.



Ellenőrzési hiba

Az ellenőrzési sikertelenség viszont azt jelenti, hogy az auditált műveletet nem fejezték be sikeresen. Ennek számos oka lehet, például helytelen jelszó megadása, vagy a felhasználó nem rendelkezik a művelet végrehajtásához szükséges engedélyekkel. Ismételten, bármi, amit az Eseménynaplóban konfigurált nyomon követésre és jelentésre, ellenőrzési hibához vezethet.



Tehát itt van – egy gyors magyarázat az eseménynaplóban az audit sikeréről és kudarcáról. Mint mindig, ha kérdése van, forduljon bizalommal informatikai szakértői csapatunkhoz.



A hibaelhárítás elősegítése érdekében a Windows operációs rendszerbe épített Event Viewer rendszer- és alkalmazásüzenetek naplóit jeleníti meg, amelyek hibákat, figyelmeztetéseket és konkrét eseményinformációkat tartalmaznak, amelyeket a rendszergazda elemezhet a megfelelő intézkedések megtétele érdekében. Ebben a bejegyzésben megbeszéljük Az Eseménynézőben sikeres vagy hibás ellenőrzés .

Mit jelent az Eseménynaplóban az auditálási siker vagy az ellenőrzési hiba?



Mit jelent az Eseménynaplóban az auditálási siker vagy az ellenőrzési hiba?

Az eseménynézőben Siker audit az az esemény, amely naplózza a sikeres ellenőrzött biztonságos hozzáférési kísérletet, miközben Audit hiba egy esemény, amely naplózza az igazolt biztonságos hozzáférés sikertelen kísérletét. Ezt a témát a következő alcímekben tárgyaljuk:

  1. Ellenőrzési irányelvek
  2. Ellenőrzési házirendek engedélyezése
  3. Az eseménynézegető segítségével keresse meg a sikertelen vagy sikeres próbálkozások forrását
  4. Alternatívák az Eseménynéző használatához

Nézzük ezt részletesen.

Ellenőrzési irányelvek

A megfigyelési házirend határozza meg a biztonsági naplókba írt események típusait, és ezek a házirendek sikeres vagy sikertelen eseményeket generálnak. Minden ellenőrzési szabályzat létrejön Sok szerencsét eseményeket ; ezek közül azonban csak néhány fog generálni Kudarc események . Kétféle naplózási házirendet konfigurálhat, nevezetesen:

  • Alapvető ellenőrzési politika 9 ellenőrzési szabályzat kategóriája és 50 ellenőrzési szabályzat alkategóriája van, amelyek igény szerint engedélyezhetők vagy letilthatók. Az alábbiakban 9 könyvvizsgálati politika kategóriája látható.
    • Fiókbejelentkezési események ellenőrzése
    • Bejelentkezési események ellenőrzése
    • Számlavezetési audit
    • Címtárszolgáltatás hozzáférés ellenőrzése
    • Objektum hozzáférés ellenőrzése
    • Az ellenőrzési politika megváltoztatása
    • Ellenőrzési jogosultsághasználat
    • Az ellenőrzési folyamat nyomon követése
    • Ellenőrző rendszer eseményei. Ez a házirend-beállítás határozza meg, hogy a rendszer ellenőrizze-e, ha a felhasználó újraindítja vagy leállítja a számítógépet, vagy ha olyan esemény történik, amely a rendszer biztonságát vagy a biztonsági naplót érinti. További információkért és a kapcsolódó bejelentkezési eseményekért tekintse meg a Microsoft dokumentációját a címen Learn.microsoft.com/Basic-Audit-System-Events .
  • Speciális ellenőrzési politika amelynek 53 kategóriája van, ezért ajánlott, mivel részletesebb ellenőrzési házirendet határozhat meg, és csak a releváns eseményeket naplózza, ami különösen hasznos nagyszámú napló generálásakor.

A naplózási hibák általában akkor fordulnak elő, amikor a bejelentkezési kérelem sikertelen, bár ezeket a fiókok, objektumok, házirendek, jogosultságok és egyéb rendszeresemények változásai is okozhatják. A két leggyakoribb esemény:

  • Eseményazonosító 4771: A Kerberos előzetes hitelesítése nem sikerült . Ez az esemény csak tartományvezérlőkön jön létre, és nem jön létre, ha Nem igényel Kerberos előzetes hitelesítést az opció be van állítva a fiókhoz. Az eseménnyel és a probléma megoldásával kapcsolatos további információkért lásd: Microsoft dokumentáció .
  • Eseményazonosító 4625: Nem sikerült bejelentkezni a fiókba . Ez az esemény akkor jön létre, ha a fiókba való bejelentkezési kísérlet sikertelen, és a felhasználó már ki van zárva. Az eseménnyel és a probléma megoldásával kapcsolatos további információkért lásd: Microsoft dokumentáció .

Olvas : A leállási és indítási napló ellenőrzése a Windows rendszerben

Ellenőrzési házirendek engedélyezése

Ellenőrzési házirendek engedélyezése

A helyi csoportházirend-szerkesztőn vagy a csoportházirend-kezelő konzolon keresztül engedélyezheti az ellenőrzési házirendeket az ügyfél- vagy kiszolgálógépeken, vagy Helyi biztonsági házirend-szerkesztő . Hozzon létre egy új csoportházirend-objektumot, vagy szerkesszen egy meglévő csoportházirend-objektumot a tartomány Windows-kiszolgálóján.

Az ügyfél- vagy kiszolgálószámítógépen a Csoportházirend-szerkesztőben lépjen a következő elérési útra:

|_+_|

Az ügyfél- vagy kiszolgálószámítógépen a helyi biztonsági házirendben lépjen a következő elérési útra:

|_+_|
  • A jobb oldali ablaktáblában található naplózási irányelvekben kattintson duplán arra a házirendre, amelynek tulajdonságait módosítani szeretné.
  • A tulajdonságok panelen engedélyezheti a következőhöz tartozó házirendet Sok szerencsét vagy Elutasítás az Ön igényei szerint.

Olvas : Hogyan állíthat vissza minden helyi csoportházirend-beállítást alapértelmezettre a Windows rendszerben

Az eseménynézegető segítségével keresse meg a sikertelen vagy sikeres próbálkozások forrását

Az Eseménynapló segítségével keresse meg a sikertelen vagy sikeres események forrását.

A rendszergazdák és az általános felhasználók megnyithatják az Eseménynaplót helyi vagy távoli számítógépen a megfelelő jogosultságokkal. Az eseménymegjelenítő mostantól minden hiba vagy sikeresemény eseményt naplóz, akár az ügyfélszámítógépen, akár a kiszolgáló tartományán. A sikertelen vagy sikeres esemény regisztrálásakor aktivált eseményazonosító eltérő (lásd alább). Ellenőrzési irányelvek fenti szakasz). Mehetsz Eseménynéző > Napló Windows > Biztonság . A középső panel felsorolja az összes auditálásra konfigurált eseményt. Meg kell néznie a naplózott eseményeket, hogy megtalálja a sikertelen vagy sikeres próbálkozásokat. Ha megtalálta őket, kattintson a jobb gombbal az eseményre, és válassza ki Az esemény tulajdonságai További részletek.

Olvas : Használja az Eseménynézőt a Windows számítógép illetéktelen használatának ellenőrzésére.

Alternatívák az Eseménynéző használatához

Az Eseménynéző használatának alternatívájaként számos, harmadik féltől származó Event Log Manager szoftver létezik, amelyek segítségével összesíthetők és korrelálhatók a különféle forrásokból, köztük felhőszolgáltatásokból származó eseményadatok. A SIEM megoldás a legjobb megoldás, ha tűzfalakról, behatolásgátló rendszerekről (IPS), eszközökről, alkalmazásokról, kapcsolókról, útválasztókról, szerverekről és egyebekről adatokat kell gyűjtenie és elemeznie.

cutepdf windows 10

Remélem elég informatívnak találod ezt a bejegyzést!

Most olvass : A biztonságos eseménynaplózás engedélyezése vagy letiltása a Windows rendszerben

Miért fontos a sikeres és a sikertelen hozzáférési kísérletek ellenőrzése?

Kritikus a bejelentkezési események auditálása, függetlenül attól, hogy azok sikeresek vagy sikertelenek voltak, a behatolási kísérletek észlelése érdekében, mert a felhasználói bejelentkezések ellenőrzése az egyetlen módja annak, hogy észleljen minden jogosulatlan tartománybejelentkezési kísérletet. A kijelentkezési eseményeket a rendszer nem követi nyomon a tartományvezérlőkön. Ugyanilyen fontos a sikertelen fájl-hozzáférési kísérletek nyomon követése is, mivel minden egyes alkalommal, amikor bármely felhasználó sikertelenül próbál hozzáférni egy megfelelő SACL-lel rendelkező fájlrendszer-objektumhoz, egy audit bejegyzés jön létre. Ezek az események az érzékeny vagy értékes fájlobjektumok tevékenységének nyomon követéséhez szükségesek, és további megfigyelést igényelnek.

Olvas : A Windows bejelentkezési jelszóházirendjének és a fiókzárolási szabályzatnak a megerősítése

Hogyan lehet engedélyezni az ellenőrzési hibanaplókat az Active Directoryban?

A naplózási hibanaplók engedélyezéséhez az Active Directoryban egyszerűen kattintson a jobb gombbal az ellenőrizni kívánt Active Directory objektumra, és válassza ki Jellemzők . Válassza ki Biztonság fület, majd válassza ki Fejlett . Válassza ki Könyvvizsgálat fület, majd válassza ki Hozzáadás . Ha meg szeretné tekinteni a naplókat az Active Directoryban, kattintson a gombra Elindul > Rendszerbiztonság > Felügyeleti eszközök > Eseménynéző . Az Active Directoryban az auditálás az AD-objektumok és csoportházirend-adatok összegyűjtésének és elemzésének folyamata a biztonság proaktív javítása, a fenyegetések gyors észlelése és reagálása, valamint az IT-műveletek zökkenőmentes működése érdekében.

Kategória
Eseménynaplók
Ajánlott
Hogyan menthetek el egy lapot az Excelben PDF formátumban?
Hogyan menthetek el egy lapot az Excelben PDF formátumban?
Blog
Событие 2545, Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider
Событие 2545, Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider
Eseménynaplók
PC DeCrapifier: A rosszindulatú programok észlelése és eltávolítása a Windows 10/8/7 rendszerből
PC DeCrapifier: A rosszindulatú programok észlelése és eltávolítása a Windows 10/8/7 rendszerből
Letöltések
A telepítés meghiúsult a SAFE_OS lépés során, a Replicate_OC művelet során hiba történt, 0xC1900101 - 0x20006
A telepítés meghiúsult a SAFE_OS lépés során, a Replicate_OC művelet során hiba történt, 0xC1900101 - 0x20006
Ablakok
Népszerű Bejegyzések
Rólunk
Prankmike Ad Tippeket, Útmutatókat, Utasításokat Windows 10, Funkciók És Az Ingyenes Szoftver.
Kategóriák
Legnézettebb
Copyright © 2024Minden Jog Fenntartva | prankmike.com | Adatvédelmi Irányelvek