Was ist Audit-Erfolg oder Audit-Fehler in der Ereignisanzeige

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Wenn es um die Ereignisanzeige geht, gibt es zwei Arten von Ergebnissen, die Sie von einem Audit erhalten können – Erfolg oder Misserfolg. Aber was bedeutet jeder? Hier ist jeweils eine kurze Erklärung.



Prüfungserfolg

Ein Prüfungserfolg bedeutet, dass die geprüfte Aktion erfolgreich abgeschlossen wurde. Dies könnte so etwas wie ein Benutzer sein, der sich bei einem System anmeldet, oder ein Prozess, der ausgeführt wird. Im Wesentlichen alles, was Sie in der Ereignisanzeige konfiguriert haben, um es zu verfolgen und darüber zu berichten.



Prüfungsfehler

Ein Prüfungsfehler hingegen bedeutet, dass die zu prüfende Aktion nicht erfolgreich abgeschlossen wurde. Dies kann verschiedene Gründe haben, z. B. die Eingabe eines falschen Kennworts oder ein Benutzer, der nicht über die erforderlichen Berechtigungen zum Ausführen der Aktion verfügt. Auch hier kann alles, was Sie in der Ereignisanzeige so konfiguriert haben, dass es nachverfolgt und gemeldet wird, zu einem Prüfungsfehler führen.



Da haben Sie es also – eine kurze Erklärung des Audit-Erfolgs und -Fehlers in der Ereignisanzeige. Wenn Sie Fragen haben, können Sie sich wie immer an unser Team von IT-Experten wenden.



Zur Unterstützung bei der Fehlerbehebung zeigt die in das Windows-Betriebssystem integrierte Ereignisanzeige Protokolle von System- und Anwendungsmeldungen an, die Fehler, Warnungen und spezifische Ereignisinformationen enthalten, die ein Administrator analysieren kann, um geeignete Maßnahmen zu ergreifen. In diesem Beitrag diskutieren wir Prüfungserfolg oder Prüfungsfehler in der Ereignisanzeige .

Was ist Audit-Erfolg oder Audit-Fehler in der Ereignisanzeige



Was ist Audit-Erfolg oder Audit-Fehler in der Ereignisanzeige

In der Ereignisanzeige Erfolgsprüfung ist das Ereignis, das einen erfolgreichen verifizierten sicheren Zugriffsversuch protokolliert, während Prüfungsfehler ist ein Ereignis, das einen erfolglosen Versuch eines verifizierten sicheren Zugriffs protokolliert. Wir werden dieses Thema in den folgenden Unterüberschriften diskutieren:

  1. Audit-Richtlinien
  2. Aktivieren Sie Überwachungsrichtlinien
  3. Verwenden Sie die Ereignisanzeige, um die Quelle fehlgeschlagener oder erfolgreicher Versuche zu finden
  4. Alternativen zur Verwendung der Ereignisanzeige

Sehen wir uns das im Detail an.

Audit-Richtlinien

Die Überwachungsrichtlinie definiert die Arten von Ereignissen, die in die Sicherheitsprotokolle geschrieben werden, und diese Richtlinien generieren Ereignisse, die entweder erfolgreich sein oder fehlschlagen können. Alle Überwachungsrichtlinien werden generiert Viel Glück Veranstaltungen ; jedoch werden nur wenige von ihnen generiert Fehlerereignisse . Sie können zwei Arten von Überwachungsrichtlinien konfigurieren, nämlich:

  • Grundlegende Audit-Richtlinie verfügt über 9 Audit-Richtlinienkategorien und 50 Audit-Richtlinienunterkategorien, die nach Bedarf aktiviert oder deaktiviert werden können. Nachfolgend finden Sie eine Liste mit 9 Audit-Richtlinienkategorien.
    • Audit-Konto-Login-Ereignisse
    • Audit-Anmeldeereignisse
    • Account-Management-Audit
    • Prüfung des Verzeichnisdienstzugriffs
    • Prüfung des Objektzugriffs
    • Ändern der Überwachungsrichtlinie
    • Berechtigungsnutzung prüfen
    • Verfolgung des Prüfungsprozesses
    • Auditing von Systemereignissen. Diese Richtlinieneinstellung bestimmt, ob überwacht wird, wenn ein Benutzer den Computer neu startet oder herunterfährt, oder wenn ein Ereignis auftritt, das sich entweder auf die Systemsicherheit oder das Sicherheitsprotokoll auswirkt. Weitere Informationen und zugehörige Anmeldeereignisse finden Sie in der Microsoft-Dokumentation unter Learn.microsoft.com/Basic-Audit-System-Events .
  • Erweiterte Überwachungsrichtlinie die 53 Kategorien hat, wird daher empfohlen, da Sie eine detailliertere Überwachungsrichtlinie definieren und nur relevante Ereignisse protokollieren können, was besonders nützlich ist, wenn Sie eine große Anzahl von Protokollen erstellen.

Überwachungsfehler treten normalerweise auf, wenn eine Anmeldeanforderung fehlschlägt, obwohl sie auch durch Änderungen an Konten, Objekten, Richtlinien, Berechtigungen und anderen Systemereignissen verursacht werden können. Die beiden häufigsten Ereignisse sind:

  • Ereignis-ID 4771: Kerberos-Vorauthentifizierung fehlgeschlagen . Dieses Ereignis wird nur auf Domänencontrollern generiert und wird nicht generiert, wenn Keine Kerberos-Vorauthentifizierung erforderlich die Option ist für das Konto gesetzt. Weitere Informationen zu diesem Ereignis und zur Behebung dieses Problems finden Sie unter Microsoft-Dokumentation .
  • Ereignis-ID 4625: Kontoanmeldung fehlgeschlagen . Dieses Ereignis wird generiert, wenn ein Anmeldeversuch bei einem Konto fehlschlägt und der Benutzer bereits gesperrt ist. Weitere Informationen zu diesem Ereignis und zur Behebung dieses Problems finden Sie unter Microsoft-Dokumentation .

Lesen : So überprüfen Sie das Herunterfahren- und Startprotokoll in Windows

Aktivieren Sie Überwachungsrichtlinien

Aktivieren Sie Überwachungsrichtlinien

Sie können Überwachungsrichtlinien auf Client- oder Servercomputern über den Editor für lokale Gruppenrichtlinien oder die Gruppenrichtlinien-Verwaltungskonsole oder aktivieren Editor für lokale Sicherheitsrichtlinien . Erstellen Sie auf einem Windows-Server in Ihrer Domäne entweder ein neues GPO oder bearbeiten Sie ein vorhandenes GPO.

Navigieren Sie auf dem Client- oder Servercomputer im Gruppenrichtlinien-Editor zum folgenden Pfad:

|_+_|

Navigieren Sie auf dem Client- oder Servercomputer in der lokalen Sicherheitsrichtlinie zum folgenden Pfad:

|_+_|
  • Doppelklicken Sie in den Überwachungsrichtlinien im rechten Bereich auf die Richtlinie, deren Eigenschaften Sie ändern möchten.
  • Im Eigenschaftenbereich können Sie die Richtlinie für aktivieren Viel Glück oder Ablehnung entsprechend Ihrer Anforderung.

Lesen : So setzen Sie alle lokalen Gruppenrichtlinieneinstellungen in Windows auf die Standardeinstellungen zurück

Verwenden Sie die Ereignisanzeige, um die Quelle fehlgeschlagener oder erfolgreicher Versuche zu finden

Verwenden Sie die Ereignisanzeige, um die Quelle fehlgeschlagener oder erfolgreicher Ereignisse zu finden.

Administratoren und allgemeine Benutzer können die Ereignisanzeige mit den entsprechenden Berechtigungen auf einem lokalen oder Remotecomputer öffnen. Die Ereignisanzeige protokolliert jetzt jedes Mal ein Ereignis, wenn ein Fehler- oder Erfolgsereignis auftritt, egal ob auf dem Clientcomputer oder in der Domäne auf dem Server. Die Ereignis-ID, die beim Registrieren eines fehlgeschlagenen oder erfolgreichen Ereignisses ausgelöst wird, ist unterschiedlich (siehe unten). Audit-Richtlinien Abschnitt oben). Sie können zu gehen Ereignisanzeige > Zeitschrift Windows > Sicherheit . Der Bereich in der Mitte listet alle Ereignisse auf, die für die Überwachung konfiguriert sind. Sie müssen sich die protokollierten Ereignisse ansehen, um fehlgeschlagene oder erfolgreiche Versuche zu finden. Sobald Sie sie gefunden haben, können Sie mit der rechten Maustaste auf das Ereignis klicken und es auswählen Ereigniseigenschaften Mehr Details.

Lesen : Verwenden Sie die Ereignisanzeige, um die unbefugte Verwendung eines Windows-Computers zu überprüfen.

Alternativen zur Verwendung der Ereignisanzeige

Als Alternative zur Verwendung der Ereignisanzeige gibt es mehrere Ereignisprotokoll-Manager-Software von Drittanbietern, die verwendet werden können, um Ereignisdaten aus einer Vielzahl von Quellen, einschließlich Cloud-Diensten, zu aggregieren und zu korrelieren. Eine SIEM-Lösung ist die beste Option, wenn Sie Daten von Firewalls, Intrusion-Prevention-Systemen (IPS), Geräten, Anwendungen, Switches, Routern, Servern und mehr sammeln und analysieren müssen.

cutepdf Windows 10

Ich hoffe, Sie finden diesen Beitrag informativ genug!

Jetzt lesen : So aktivieren oder deaktivieren Sie die sichere Ereignisprotokollierung in Windows

Warum ist es wichtig, sowohl erfolgreiche als auch fehlgeschlagene Zugriffsversuche zu überprüfen?

Es ist wichtig, Anmeldeereignisse zu überwachen, unabhängig davon, ob sie erfolgreich oder nicht erfolgreich waren, um Einbruchsversuche zu erkennen, da die Überwachung von Benutzeranmeldungen die einzige Möglichkeit ist, alle nicht autorisierten Domänenanmeldeversuche zu erkennen. Abmeldeereignisse werden auf Domänencontrollern nicht nachverfolgt. Ebenso wichtig ist es, fehlgeschlagene Dateizugriffsversuche nachzuverfolgen, da jedes Mal ein Prüfeintrag erstellt wird, wenn ein Benutzer erfolglos versucht, auf ein Dateisystemobjekt zuzugreifen, das über eine übereinstimmende SACL verfügt. Diese Ereignisse sind erforderlich, um die Aktivität von Dateiobjekten zu verfolgen, die vertraulich oder wertvoll sind und eine zusätzliche Überwachung erfordern.

Lesen : Stärkung der Windows-Anmeldekennwortrichtlinie und Kontosperrungsrichtlinie

Wie aktiviere ich Überwachungsfehlerprotokolle in Active Directory?

Um Überwachungsfehlerprotokolle in Active Directory zu aktivieren, klicken Sie einfach mit der rechten Maustaste auf das Active Directory-Objekt, das Sie überprüfen und auswählen möchten Eigenschaften . Wählen Sicherheit Registerkarte und wählen Sie dann aus Fortschrittlich . Wählen Prüfung Registerkarte und wählen Sie dann aus Hinzufügen . Um Überwachungsprotokolle in Active Directory anzuzeigen, klicken Sie auf Anfangen > Systemsicherheit > Management-Tools > Ereignisanzeige . In Active Directory ist die Überwachung der Prozess des Sammelns und Analysierens von AD-Objekten und Gruppenrichtliniendaten, um die Sicherheit proaktiv zu verbessern, Bedrohungen schnell zu erkennen und darauf zu reagieren und den reibungslosen Ablauf des IT-Betriebs zu gewährleisten.

Kategorie
Ereignisprotokolle
Empfohlen
So reparieren Sie beschädigte und beschädigte Zip-Dateien
So reparieren Sie beschädigte und beschädigte Zip-Dateien
Downloads
Beheben Sie den ntdll.dll-Absturzfehler in Windows 10
Beheben Sie den ntdll.dll-Absturzfehler in Windows 10
Fenster
Der Ubisoft-Dienst ist derzeit nicht unter Windows 10 verfügbar.
Der Ubisoft-Dienst ist derzeit nicht unter Windows 10 verfügbar.
Allgemein
So überprüfen oder testen Sie, ob ein Antivirenprogramm auf einem Windows-PC ordnungsgemäß funktioniert
So überprüfen oder testen Sie, ob ein Antivirenprogramm auf einem Windows-PC ordnungsgemäß funktioniert
Sicherheit
Beliebte Beiträge
Über Uns
Prankmike Gibt Tipps, Richtlinien, Anweisungen Für Windows 10, Funktionen Und Freie Software.
Kategorien
Am Häufigsten Gesehen
Copyright © 2024Alle Rechte Vorbehalten | prankmike.com | Datenschutz-Bestimmungen