Khi nói đến Trình xem sự kiện, có hai loại kết quả mà bạn có thể nhận được từ quá trình kiểm tra – thành công hoặc thất bại. Nhưng ý nghĩa của mỗi người là gì? Đây là một lời giải thích nhanh chóng của mỗi.
Kiểm toán thành công
Kiểm toán thành công có nghĩa là hành động được kiểm tra đã được hoàn thành thành công. Đây có thể là một cái gì đó giống như người dùng đăng nhập vào hệ thống hoặc một quy trình đang được chạy. Về cơ bản, bất kỳ thứ gì bạn đã định cấu hình Trình xem sự kiện để theo dõi và báo cáo.
Kiểm toán thất bại
Mặt khác, lỗi kiểm toán có nghĩa là hành động đang được kiểm toán không được hoàn thành thành công. Điều này có thể do một số lý do, chẳng hạn như nhập sai mật khẩu hoặc người dùng không có các quyền cần thiết để thực hiện hành động. Một lần nữa, bất kỳ thứ gì bạn đã định cấu hình Trình xem sự kiện để theo dõi và báo cáo đều có thể dẫn đến lỗi kiểm tra.
Vậy là bạn đã có nó – giải thích nhanh về thành công và thất bại của kiểm toán trong Trình xem sự kiện. Như mọi khi, nếu bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với nhóm chuyên gia CNTT của chúng tôi.
Để hỗ trợ khắc phục sự cố, Trình xem sự kiện được tích hợp trong hệ điều hành Windows sẽ hiển thị nhật ký của các thông báo ứng dụng và hệ thống bao gồm lỗi, cảnh báo và thông tin sự kiện cụ thể mà quản trị viên có thể phân tích để thực hiện hành động thích hợp. Trong bài này chúng ta thảo luận Kiểm tra thành công hoặc kiểm tra thất bại trong Trình xem sự kiện .
Kiểm toán thành công hoặc kiểm tra thất bại trong Trình xem sự kiện là gì
Trong trình xem sự kiện kiểm toán thành công là sự kiện ghi lại nỗ lực truy cập an toàn được xác minh thành công, trong khi lỗi kiểm toán là một sự kiện ghi lại nỗ lực truy cập an toàn đã được xác minh không thành công. Chúng ta sẽ thảo luận về chủ đề này trong các tiêu đề phụ sau:
- Chính sách kiểm toán
- Kích hoạt chính sách kiểm toán
- Sử dụng trình xem sự kiện để tìm nguồn gốc của các lần thử không thành công hoặc thành công
- Các lựa chọn thay thế cho việc sử dụng Trình xem sự kiện
Hãy xem xét điều này một cách chi tiết.
Chính sách kiểm toán
Chính sách kiểm tra xác định các loại sự kiện được ghi vào nhật ký bảo mật và các chính sách này tạo ra các sự kiện có thể thành công hoặc thất bại. Tất cả các chính sách kiểm toán sẽ tạo ra Chúc may mắn sự kiện ; tuy nhiên, chỉ một vài trong số chúng sẽ tạo ra sự kiện thất bại . Bạn có thể định cấu hình hai loại chính sách kiểm tra, cụ thể là:
- Chính sách kiểm toán cơ bản có 9 danh mục chính sách kiểm toán và 50 danh mục con chính sách kiểm toán có thể được bật hoặc tắt theo yêu cầu. Dưới đây là danh sách 9 hạng mục chính sách kiểm toán.
- Kiểm tra các sự kiện đăng nhập tài khoản
- Kiểm tra sự kiện đăng nhập
- Kiểm toán quản lý tài khoản
- Kiểm tra truy cập dịch vụ thư mục
- Kiểm toán truy cập đối tượng
- Thay đổi chính sách kiểm toán
- Sử dụng đặc quyền kiểm toán
- Theo dõi quá trình kiểm toán
- Kiểm toán các sự kiện hệ thống. Cài đặt chính sách này xác định xem có nên kiểm tra khi người dùng khởi động lại hoặc tắt máy tính hay khi xảy ra sự kiện ảnh hưởng đến bảo mật hệ thống hoặc nhật ký bảo mật. Để biết thêm thông tin và các sự kiện đăng nhập có liên quan, hãy xem tài liệu của Microsoft tại Learn.microsoft.com/Basic-Audit-System-Events .
- Chính sách kiểm toán nâng cao có 53 danh mục, vì vậy bạn nên xác định chính sách kiểm tra chi tiết hơn và chỉ ghi nhật ký các sự kiện có liên quan, điều này đặc biệt hữu ích khi tạo một số lượng lớn nhật ký.
Lỗi kiểm tra thường xảy ra khi yêu cầu đăng nhập không thành công, mặc dù lỗi này cũng có thể do các thay đổi đối với tài khoản, đối tượng, chính sách, đặc quyền và các sự kiện hệ thống khác gây ra. Hai sự kiện phổ biến nhất là:
- ID sự kiện 4771: Xác thực trước Kerberos không thành công . Sự kiện này chỉ được tạo trên bộ điều khiển miền và không được tạo nếu Không yêu cầu xác thực trước Kerberos tùy chọn được đặt cho tài khoản. Để biết thêm thông tin về sự kiện này và cách giải quyết vấn đề này, hãy xem tài liệu của Microsoft .
- ID sự kiện 4625: Không đăng nhập được vào tài khoản . Sự kiện này được tạo khi một nỗ lực đăng nhập tài khoản không thành công và người dùng đã bị khóa. Để biết thêm thông tin về sự kiện này và cách giải quyết vấn đề này, hãy xem tài liệu của Microsoft .
Đọc : Cách kiểm tra nhật ký tắt máy và khởi động trong Windows
Kích hoạt chính sách kiểm tra
Bạn có thể kích hoạt các chính sách kiểm tra trên máy khách hoặc máy chủ thông qua Trình chỉnh sửa chính sách nhóm cục bộ hoặc Bảng điều khiển quản lý chính sách nhóm hoặc Trình chỉnh sửa chính sách bảo mật cục bộ . Trên máy chủ Windows trong miền của bạn, hãy tạo GPO mới hoặc chỉnh sửa GPO hiện có.
Trên máy khách hoặc máy chủ, trong Trình chỉnh sửa chính sách nhóm, điều hướng đến đường dẫn sau:
|_+_|Trên máy khách hoặc máy chủ, trong chính sách bảo mật cục bộ, điều hướng đến đường dẫn sau:
|_+_|- Trong Chính sách kiểm tra ở ngăn bên phải, bấm đúp vào chính sách có thuộc tính mà bạn muốn thay đổi.
- Trong bảng thuộc tính, bạn có thể bật chính sách cho Chúc may mắn hoặc Sự từ chối theo yêu cầu của bạn.
Đọc : Cách đặt lại tất cả cài đặt chính sách nhóm cục bộ về mặc định trong Windows
Sử dụng trình xem sự kiện để tìm nguồn gốc của các lần thử không thành công hoặc thành công
Quản trị viên và người dùng chung có thể mở Trình xem sự kiện trên máy tính cục bộ hoặc từ xa với các quyền thích hợp. Giờ đây, trình xem sự kiện sẽ ghi nhật ký sự kiện mỗi khi xảy ra sự kiện thất bại hoặc thành công, cho dù trên máy khách hay miền trên máy chủ. ID sự kiện được kích hoạt khi đăng ký sự kiện thất bại hoặc thành công là khác nhau (xem bên dưới). Chính sách kiểm toán phần trên). Bạn có thể đi đến Trình xem sự kiện > Tạp chí Windows > Sự an toàn . Bảng điều khiển ở trung tâm liệt kê tất cả các sự kiện được định cấu hình để kiểm tra. Bạn sẽ phải xem các sự kiện đã ghi để tìm các lần thử không thành công hoặc thành công. Khi bạn tìm thấy chúng, bạn có thể nhấp chuột phải vào sự kiện và chọn thuộc tính sự kiện Thêm chi tiết.
Đọc : Sử dụng Trình xem sự kiện để kiểm tra việc sử dụng trái phép máy tính Windows.
Các lựa chọn thay thế cho việc sử dụng Trình xem sự kiện
Là một giải pháp thay thế cho việc sử dụng Trình xem sự kiện, có một số phần mềm Trình quản lý nhật ký sự kiện của bên thứ ba có thể được sử dụng để tổng hợp và tương quan dữ liệu sự kiện từ nhiều nguồn khác nhau, bao gồm cả dịch vụ đám mây. Giải pháp SIEM là lựa chọn tốt nhất nếu bạn cần thu thập và phân tích dữ liệu từ tường lửa, hệ thống ngăn chặn xâm nhập (IPS), thiết bị, ứng dụng, bộ chuyển mạch, bộ định tuyến, máy chủ, v.v.
cutepdf windows 10
Hy vọng bạn tìm thấy bài đăng này đủ thông tin!
Hãy đọc ngay bây giờ : Cách bật hoặc tắt ghi nhật ký sự kiện an toàn trong Windows
Tại sao việc kiểm tra cả những lần truy cập thành công và không thành công lại quan trọng?
Điều quan trọng là phải kiểm tra các sự kiện đăng nhập, cho dù chúng thành công hay không thành công, để phát hiện các nỗ lực xâm nhập, bởi vì kiểm tra đăng nhập của người dùng là cách duy nhất để phát hiện tất cả các nỗ lực đăng nhập miền trái phép. Sự kiện đăng xuất không được theo dõi trên bộ điều khiển miền. Việc theo dõi các nỗ lực truy cập tệp không thành công cũng quan trọng không kém, vì một mục kiểm tra được tạo mỗi khi bất kỳ người dùng nào cố gắng truy cập không thành công vào một đối tượng hệ thống tệp có SACL phù hợp. Những sự kiện này là bắt buộc để theo dõi hoạt động của các đối tượng tệp nhạy cảm hoặc có giá trị và yêu cầu giám sát bổ sung.
Đọc : Tăng cường chính sách mật khẩu đăng nhập Windows và chính sách khóa tài khoản
Làm cách nào để bật nhật ký lỗi kiểm tra trong Active Directory?
Để bật nhật ký lỗi kiểm tra trong Active Directory, chỉ cần nhấp chuột phải vào đối tượng Active Directory mà bạn muốn kiểm tra và chọn Đặc trưng . Lựa chọn Sự an toàn tab và sau đó chọn Trình độ cao . Lựa chọn Kiểm toán tab và sau đó chọn Thêm vào . Để xem nhật ký kiểm tra trong Active Directory, hãy nhấp vào Bắt đầu > Bảo mật hệ thống > công cụ quản lý > Trình xem sự kiện . Trong Active Directory, kiểm tra là quá trình thu thập và phân tích các đối tượng AD và dữ liệu Chính sách Nhóm để chủ động cải thiện tính bảo mật, nhanh chóng phát hiện và ứng phó với các mối đe dọa cũng như giữ cho hoạt động CNTT hoạt động trơn tru.
