Vad är revisionsframgång eller granskningsfel i Event Viewer

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



När det kommer till Event Viewer finns det två typer av resultat som du kan få från en revision – framgång eller misslyckande. Men vad betyder var och en? Här är en snabb förklaring av var och en.



Revisionsframgång

En revisionsframgång betyder att åtgärden som granskas slutfördes framgångsrikt. Detta kan vara något som att en användare loggar in på ett system eller en process som körs. I huvudsak allt som du har konfigurerat Event Viewer för att spåra och rapportera om.



Granskningsfel

Ett revisionsfel betyder å andra sidan att åtgärden som granskas inte slutfördes framgångsrikt. Detta kan bero på ett antal orsaker, till exempel att ett felaktigt lösenord har angetts eller att en användare inte har de nödvändiga behörigheterna för att utföra åtgärden. Återigen, allt som du har konfigurerat Event Viewer för att spåra och rapportera om kan resultera i ett granskningsfel.



Så där har du det – en snabb förklaring av revisionsframgång och misslyckande i Event Viewer. Som alltid, om du har några frågor är du välkommen att kontakta vårt team av IT-experter.



För att hjälpa till med felsökning visar Event Viewer inbyggd i Windows operativsystem loggar över system- och programmeddelanden som inkluderar fel, varningar och specifik händelseinformation som en administratör kan analysera för att vidta lämpliga åtgärder. I detta inlägg diskuterar vi Granskningen lyckades eller granskningen misslyckades i Event Viewer .

Vad är revisionsframgång eller granskningsfel i Event Viewer



Vad är revisionsframgång eller granskningsfel i Event Viewer

I händelsevisaren Framgångsrevision är händelsen som loggar ett lyckat verifierat försök till säker åtkomst, medan Revisionsfel är en händelse som loggar ett misslyckat försök till verifierad säker åtkomst. Vi kommer att diskutera detta ämne i följande underrubriker:

  1. Revisionspolicyer
  2. Aktivera revisionspolicyer
  3. Använd händelsevisaren för att hitta källan till misslyckade eller lyckade försök
  4. Alternativ till att använda Event Viewer

Låt oss titta på detta i detalj.

Revisionspolicyer

Granskningspolicyn definierar de typer av händelser som skrivs till säkerhetsloggarna, och dessa principer genererar händelser som antingen kan lyckas eller misslyckas. Alla revisionspolicyer kommer att generera Lycka till evenemang ; dock kommer bara ett fåtal av dem att generera Felhändelser . Du kan konfigurera två typer av granskningspolicyer, nämligen:

  • Grundläggande revisionspolicy har 9 revisionspolicykategorier och 50 revisionspolicyunderkategorier som kan aktiveras eller inaktiveras efter behov. Nedan finns en lista med 9 kategorier för revisionspolicy.
    • Granska kontoinloggningshändelser
    • Granska inloggningshändelser
    • Account Management revision
    • Katalogtjänståtkomstgranskning
    • Objektåtkomstrevision
    • Ändring av revisionspolicyn
    • Granska privilegieanvändning
    • Spåra revisionsprocessen
    • Revisionssystemhändelser. Den här principinställningen avgör om den ska granskas när en användare startar om eller stänger av datorn, eller när en händelse inträffar som påverkar antingen systemsäkerheten eller säkerhetsloggen. För mer information och relaterade inloggningshändelser, se Microsoft-dokumentationen på Learn.microsoft.com/Basic-Audit-System-Events .
  • Avancerad revisionspolicy som har 53 kategorier, så rekommenderas eftersom du kan definiera en mer detaljerad revisionspolicy och endast logga relevanta händelser, vilket är särskilt användbart när du genererar ett stort antal loggar.

Granskningsfel uppstår vanligtvis när en inloggningsbegäran misslyckas, även om de också kan orsakas av ändringar i konton, objekt, policyer, privilegier och andra systemhändelser. De två vanligaste händelserna är:

  • Händelse-ID 4771: Kerberos förautentisering misslyckades . Denna händelse genereras endast på domänkontrollanter och genereras inte if Kräv inte Kerberos-förautentisering alternativet är inställt för kontot. För mer information om den här händelsen och hur du löser problemet, se Microsoft dokumentation .
  • Händelse-ID 4625: Det gick inte att logga in på kontot . Denna händelse genereras när ett kontoinloggningsförsök misslyckas och användaren redan är utelåst. För mer information om den här händelsen och hur du löser problemet, se Microsoft dokumentation .

Läsa : Så här kontrollerar du avstängning och startlogg i Windows

Aktivera revisionspolicyer

Aktivera revisionspolicyer

Du kan aktivera granskningspolicyer på klient- eller serverdatorer genom den lokala grupprincipredigeraren eller konsolen för grupprinciphantering, eller Lokal säkerhetspolicyredigerare . På en Windows-server i din domän skapar du antingen ett nytt GPO eller redigerar ett befintligt GPO.

På klient- eller serverdatorn, i grupprincipredigeraren, navigera till följande sökväg:

|_+_|

På klient- eller serverdatorn, i den lokala säkerhetspolicyn, navigera till följande sökväg:

|_+_|
  • I granskningsprinciperna i den högra rutan dubbelklickar du på den policy vars egenskaper du vill ändra.
  • I egenskapspanelen kan du aktivera policyn för Lycka till eller Avslag enligt ditt krav.

Läsa : Så här återställer du alla lokala grupppolicyinställningar till standardinställningar i Windows

Använd händelsevisaren för att hitta källan till misslyckade eller lyckade försök

Använd händelsevisaren för att hitta källan till misslyckade eller lyckade händelser.

Administratörer och allmänna användare kan öppna Event Viewer på en lokal eller fjärrdator med lämpliga behörigheter. Händelsevisaren loggar nu en händelse varje gång ett misslyckande eller framgångshändelse inträffar, oavsett om det är på klientdatorn eller domänen på servern. Händelse-ID:t som aktiveras när en misslyckad eller lyckad händelse registreras är annorlunda (se nedan). Revisionspolicyer avsnitt ovan). Du kan gå till Loggboken > Journal Windows > Säkerhet . Panelen i mitten listar alla händelser som konfigurerats för granskning. Du måste titta på loggade händelser för att hitta misslyckade eller lyckade försök. När du har hittat dem kan du högerklicka på händelsen och välja Händelseegenskaper Fler detaljer.

Läsa : Använd Event Viewer för att leta efter obehörig användning av en Windows-dator.

Alternativ till att använda Event Viewer

Som ett alternativ till att använda Event Viewer finns det flera tredjepartsprogramvara för Event Log Manager som kan användas för att aggregera och korrelera händelsedata från en mängd olika källor, inklusive molntjänster. En SIEM-lösning är det bästa alternativet om du behöver samla in och analysera data från brandväggar, intrångsskyddssystem (IPS), enheter, applikationer, switchar, routrar, servrar och mer.

cutepdf windows 10

Hoppas du tycker att detta inlägg är tillräckligt informativt!

Läs nu : Hur man aktiverar eller inaktiverar säker händelseloggning i Windows

Varför är det viktigt att kontrollera både lyckade och misslyckade åtkomstförsök?

Det är avgörande att granska inloggningshändelser, oavsett om de lyckades eller misslyckades, för att upptäcka intrångsförsök, eftersom granskning av användarinloggningar är det enda sättet att upptäcka alla obehöriga domäninloggningsförsök. Utloggningshändelser spåras inte på domänkontrollanter. Det är också lika viktigt att hålla reda på misslyckade filåtkomstförsök, eftersom en granskningspost skapas varje gång en användare utan framgång försöker komma åt ett filsystemobjekt som har en matchande SACL. Dessa händelser krävs för att spåra aktiviteten hos filobjekt som är känsliga eller värdefulla och kräver ytterligare övervakning.

Läsa : Förstärk Windows-policyn för inloggningslösenord och policy för kontolåsning

Hur aktiverar jag granskningsfelloggar i Active Directory?

För att aktivera granskningsfelloggar i Active Directory, högerklicka helt enkelt på det Active Directory-objekt du vill kontrollera och välj Egenskaper . Välj Säkerhet fliken och välj sedan Avancerad . Välj Granska fliken och välj sedan Lägg till . Klicka på för att se granskningsloggar i Active Directory Börja > Systemsäkerhet > Ledningsverktyg > Loggboken . I Active Directory är revision processen att samla in och analysera AD-objekt och gruppolicydata för att proaktivt förbättra säkerheten, snabbt upptäcka och svara på hot och hålla IT-driften igång smidigt.

Kategori
Händelseloggar
Rekommenderas
Installationsprogrammet för Windows kunde inte konfigurera Windows för att köras på den här datorns hårdvara.
Installationsprogrammet för Windows kunde inte konfigurera Windows för att köras på den här datorns hårdvara.
Windows
Hur man återställer typsnittscachen i Windows 10
Hur man återställer typsnittscachen i Windows 10
Windows
Drivrutinen kan inte laddas på den här enheten i Windows 11
Drivrutinen kan inte laddas på den här enheten i Windows 11
Förare
Hur man roterar skärmen i Windows 10
Hur man roterar skärmen i Windows 10
Windows
Populära Inlägg
Om Oss
Prankmike Ger Tips, Riktlinjer, Instruktioner För Windows 10, Funktioner Och Fri Programvara.
Kategorier
Mest Sedda
Copyright © 2024Alla Rättigheter Förbehållna | prankmike.com | Integritetspolicy