在Windows中,您可以为操作系统检测到的某些事件启用”审核策略”。一个这样的审计策略是审核服务器上发生的任何登录名/注销事件。这可能是记录帐户正在登录服务器的好方法,何时何地。
本指南将介绍如何启用审核登录事件,查看它们,并创建自定义视图以仅筛选查看登录事件。
启用登录事件审核
所有审核策略都是组策略的一部分,因此可以在本地组策略编辑器中启用或禁用。
第一:打开组策略编辑器。
第二: 导航 计算机配置-> Windows设置->安全设置->本地策略->审核策略.
第三: 右键单击”审核登录事件”并选择 物产.
第四: 同时检查 成功 和 失败 复选框以启用成功和失败的登录尝试审核。 点击 好.
现在启用登录审计,并且将在事件查看器中跟踪任何未来的登录和注销事件。
查看登录事件
要查看现在被审核的登录事件,您可以从事件查看器查看它们。
第一: 打开事件查看器。
第二: 导航 Windows日志->安全性.
然后,事件查看器的此部分将包含任何登录和注销事件。然后,选择其中一个事件将在底部的框中显示事件的详细信息。
仅过滤登录事件
要仅查看登录事件列表,而不查看所有已检测到的安全事件,可以创建自定义视图。
第一: 在事件查看器中,导航回 Windows日志->安全性 部分。
第二: 选择 创建自定义视图… 在右侧边栏中。
第三: 单击它所说的位置并输入要查看的事件的ID。 可选地,您还可以通过指定用户通过用户筛选 用户: 文本框。 选择 好。
事件ID事件类型4624登录4672特殊登录4634注销
第四: 为您的视图命名,然后选择要放入的文件夹。单击 好.
现在,您将可以在”事件查看器”下的” 自定义视图 – >您的视图的名称.
