Аудит системных событий
Определяет, подлежат ли аудиту события перезагрузки или завершения работы компьютера пользователем, а также события, влияющие на системную безопасность или журнал безопасности.
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию:
"Успех" — на контроллерах домена.
"Нет аудита" — на рядовых серверах.
Настройка этого параметра аудита
Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
| События входа в систему | Описание |
|---|---|
| 512 | Запускается Windows. |
| 513 | Windows завершает работу. |
| 514 | Пакет проверки подлинности загружен подсистемой LSA. |
| 515 | Доверенный процесс входа зарегистрирован в подсистеме LSA. |
| 516 | Внутренние ресурсы, выделенные для организации очереди сообщений о событиях безопасности, закончились, что ведет к потере некоторых сообщений о событиях безопасности. |
| 517 | Очищен журнал аудита. |
| 518 | Пакет уведомлений был загружен SAM. |
| 519 | Процесс использует недопустимый порт локального вызова процедур (LPC), пытаясь олицетворить клиента и использовать его адресное пространство для ответа, чтения или записи. |
| 520 | Изменено системное время.Примечание Обычно эта запись аудита регистрируется дважды.
|