Аудит системных событий

Определяет, подлежат ли аудиту события перезагрузки или завершения работы компьютера пользователем, а также события, влияющие на системную безопасность или журнал безопасности.

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

По умолчанию:

  • "Успех" — на контроллерах домена.

  • "Нет аудита" — на рядовых серверах.

Настройка этого параметра аудита

Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".

События входа в системуОписание
512Запускается Windows.
513 Windows завершает работу.
514Пакет проверки подлинности загружен подсистемой LSA.
515 Доверенный процесс входа зарегистрирован в подсистеме LSA.
516 Внутренние ресурсы, выделенные для организации очереди сообщений о событиях безопасности, закончились, что ведет к потере некоторых сообщений о событиях безопасности.
517Очищен журнал аудита.
518 Пакет уведомлений был загружен SAM.
519Процесс использует недопустимый порт локального вызова процедур (LPC), пытаясь олицетворить клиента и использовать его адресное пространство для ответа, чтения или записи.
520Изменено системное время.
Примечание  Обычно эта запись аудита регистрируется дважды.
 

 

Связанные разделы

Параметры базовой политики аудита безопасности

 

 

Показ: