Wat is Audit Succes of Audit Failure in Event Viewer

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Als het gaat om Event Viewer, zijn er twee soorten resultaten die u kunt behalen met een audit: geslaagd of mislukt. Maar wat betekent elk? Hier is een korte uitleg van elk.



Audit succes

Een geslaagde audit betekent dat de actie die wordt gecontroleerd, met succes is voltooid. Dit kan zoiets zijn als een gebruiker die zich aanmeldt bij een systeem of een proces dat wordt uitgevoerd. In wezen alles waarvoor u Event Viewer hebt geconfigureerd om bij te houden en erover te rapporteren.



Audit mislukt

Een mislukte audit betekent daarentegen dat de actie die wordt gecontroleerd niet met succes is voltooid. Dit kan een aantal redenen hebben, zoals een onjuist wachtwoord dat is ingevoerd of een gebruiker die niet over de benodigde machtigingen beschikt om de actie uit te voeren. Nogmaals, alles waarvoor u Event Viewer hebt geconfigureerd om bij te houden en waarover u kunt rapporteren, kan leiden tot een auditfout.



Dus daar heb je het - een korte uitleg van het succes en falen van audits in Event Viewer. Zoals altijd kunt u bij vragen contact opnemen met ons team van IT-experts.



Om te helpen bij het oplossen van problemen, geeft de in het Windows-besturingssysteem ingebouwde Logboeken logboeken weer van systeem- en toepassingsberichten met daarin fouten, waarschuwingen en specifieke gebeurtenisinformatie die een beheerder kan analyseren om de juiste actie te ondernemen. In dit bericht bespreken we Auditsucces of auditfout in Logboeken .

Wat is Audit Succes of Audit Failure in Event Viewer



Wat is Audit Succes of Audit Failure in Event Viewer

In de eventviewer Succes audit is de gebeurtenis die een geslaagde geverifieerde beveiligde toegangspoging registreert, while Auditfout is een gebeurtenis die een mislukte poging tot geverifieerde beveiligde toegang registreert. We zullen dit onderwerp bespreken in de volgende subkopjes:

  1. Auditbeleid
  2. Auditbeleid inschakelen
  3. Gebruik de gebeurtenisviewer om de bron van mislukte of geslaagde pogingen te vinden
  4. Alternatieven voor het gebruik van de Event Viewer

Laten we dit in detail bekijken.

Auditbeleid

Het controlebeleid definieert de typen gebeurtenissen die naar de beveiligingslogboeken worden geschreven en deze beleidsregels genereren gebeurtenissen die kunnen slagen of mislukken. Alle auditbeleidslijnen worden gegenereerd Succes evenementen ; er zullen er echter maar een paar worden gegenereerd Storingsgebeurtenissen . U kunt twee typen auditbeleid configureren, namelijk:

  • Basis controlebeleid heeft 9 auditbeleidscategorieën en 50 auditbeleidssubcategorieën die naar behoefte kunnen worden in- of uitgeschakeld. Hieronder vindt u een lijst met 9 categorieën auditbeleid.
    • Accountaanmeldingsgebeurtenissen controleren
    • Aanmeldingsgebeurtenissen controleren
    • Audit accountbeheer
    • Toegangscontrole directoryservice
    • Audit van objecttoegang
    • Wijziging van het auditbeleid
    • Gebruik van privileges controleren
    • Het volgen van het auditproces
    • Systeemgebeurtenissen controleren. Deze beleidsinstelling bepaalt of er moet worden gecontroleerd wanneer een gebruiker de computer opnieuw opstart of afsluit, of wanneer zich een gebeurtenis voordoet die van invloed is op de systeembeveiliging of het beveiligingslogboek. Zie voor meer informatie en gerelateerde aanmeldingsgebeurtenissen de Microsoft-documentatie op Learn.microsoft.com/Basic-Audit-System-Events .
  • Geavanceerd auditbeleid die 53 categorieën heeft, dus wordt aanbevolen omdat u een gedetailleerder auditbeleid kunt definiëren en alleen relevante gebeurtenissen kunt vastleggen, wat vooral handig is bij het genereren van een groot aantal logboeken.

Auditfouten treden meestal op wanneer een aanmeldingsverzoek mislukt, hoewel ze ook kunnen worden veroorzaakt door wijzigingen in accounts, objecten, beleid, privileges en andere systeemgebeurtenissen. De twee meest voorkomende evenementen zijn:

  • Gebeurtenis-ID 4771: Pre-authenticatie van Kerberos is mislukt . Deze gebeurtenis wordt alleen gegenereerd op domeincontrollers en wordt niet gegenereerd als Kerberos-authenticatie vooraf is niet vereist de optie is ingesteld voor het account. Zie voor meer informatie over deze gebeurtenis en het oplossen van dit probleem Microsoft-documentatie .
  • Gebeurtenis-ID 4625: aanmelden bij account mislukt . Deze gebeurtenis wordt gegenereerd wanneer een inlogpoging op een account mislukt en de gebruiker al is uitgesloten. Zie voor meer informatie over deze gebeurtenis en het oplossen van dit probleem Microsoft-documentatie .

Lezen : Hoe u het afsluit- en opstartlogboek in Windows kunt controleren

Auditbeleid inschakelen

Auditbeleid inschakelen

U kunt auditbeleid op client- of servercomputers inschakelen via de Editor voor lokaal groepsbeleid of de Group Policy Management Console, of Editor voor lokaal beveiligingsbeleid . Maak op een Windows-server in uw domein een nieuw groepsbeleidsobject of bewerk een bestaand groepsbeleidsobject.

Navigeer op de client- of servercomputer in de Groepsbeleid-editor naar het volgende pad:

|_+_|

Navigeer op de client- of servercomputer in het lokale beveiligingsbeleid naar het volgende pad:

|_+_|
  • Dubbelklik in het controlebeleid in het rechterdeelvenster op het beleid waarvan u de eigenschappen wilt wijzigen.
  • In het eigenschappenvenster kunt u het beleid inschakelen voor Succes of Afwijzing volgens uw vereiste.

Lezen : Alle instellingen voor lokaal groepsbeleid terugzetten naar de standaardinstellingen in Windows

Gebruik de gebeurtenisviewer om de bron van mislukte of geslaagde pogingen te vinden

Gebruik de Logboeken om de bron van mislukte of geslaagde gebeurtenissen te vinden.

Beheerders en algemene gebruikers kunnen de Logboeken openen op een lokale of externe computer met de juiste machtigingen. De gebeurtenisviewer registreert nu elke keer dat er een fout- of succesgebeurtenis optreedt een gebeurtenis, zowel op de clientcomputer als op het domein op de server. De gebeurtenis-ID die wordt geactiveerd bij het registreren van een mislukte of geslaagde gebeurtenis is anders (zie hieronder). Auditbeleid sectie hierboven). Je kan gaan naar Gebeurtenisviewer > Journal Windows > Veiligheid . Het paneel in het midden geeft een overzicht van alle gebeurtenissen die zijn geconfigureerd voor auditing. U zult naar geregistreerde gebeurtenissen moeten kijken om mislukte of geslaagde pogingen te vinden. Zodra je ze hebt gevonden, kun je met de rechtermuisknop op het evenement klikken en selecteren Evenement eigenschappen Meer details.

Lezen : gebruik de Event Viewer om te controleren op ongeoorloofd gebruik van een Windows-computer.

Alternatieven voor het gebruik van de Event Viewer

Als alternatief voor het gebruik van de Event Viewer zijn er verschillende externe Event Log Manager-software die kan worden gebruikt om gebeurtenisgegevens uit verschillende bronnen, waaronder cloudservices, samen te voegen en te correleren. Een SIEM-oplossing is de beste optie als u gegevens van firewalls, inbraakpreventiesystemen (IPS), apparaten, applicaties, switches, routers, servers en meer moet verzamelen en analyseren.

cutepdf windows 10

Ik hoop dat je dit bericht informatief genoeg vindt!

Nu lezen : Veilig vastleggen van gebeurtenissen in Windows in- of uitschakelen

Waarom is het belangrijk om zowel geslaagde als mislukte toegangspogingen te controleren?

Het is van cruciaal belang om aanmeldingsgebeurtenissen te controleren, of ze nu succesvol of niet succesvol waren, om inbraakpogingen te detecteren, omdat het controleren van gebruikersaanmeldingen de enige manier is om alle niet-geautoriseerde aanmeldingspogingen op het domein te detecteren. Uitloggebeurtenissen worden niet bijgehouden op domeincontrollers. Het is ook net zo belangrijk om mislukte pogingen tot bestandstoegang bij te houden, aangezien er elke keer dat een gebruiker tevergeefs probeert toegang te krijgen tot een bestandssysteemobject dat een overeenkomende SACL heeft, een controlevermelding wordt gemaakt. Deze gebeurtenissen zijn vereist om de activiteit van bestandsobjecten bij te houden die gevoelig of waardevol zijn en die aanvullende bewaking vereisen.

Lezen : Versterk het Windows-aanmeldingswachtwoordbeleid en accountvergrendelingsbeleid

Hoe auditfoutlogboeken in Active Directory inschakelen?

Om controlefoutlogboeken in Active Directory in te schakelen, klikt u eenvoudig met de rechtermuisknop op het Active Directory-object dat u wilt controleren en selecteren Kenmerken . Selecteer Veiligheid tabblad en selecteer vervolgens Geavanceerd . Selecteer Audit tabblad en selecteer vervolgens Toevoegen . Om controlelogboeken in Active Directory te bekijken, klikt u op Beginnen > Systeembeveiliging > Management tools > Gebeurtenisviewer . In Active Directory is auditing het proces van het verzamelen en analyseren van AD-objecten en groepsbeleidsgegevens om proactief de beveiliging te verbeteren, bedreigingen snel te detecteren en erop te reageren, en ervoor te zorgen dat IT-activiteiten soepel blijven verlopen.

Categorie
Gebeurtenislogboeken
Aanbevolen
Hoe kan ik een SharePoint-bestand standaard in de desktop-app openen?
Hoe kan ik een SharePoint-bestand standaard in de desktop-app openen?
Bloggen
Hoe krijg ik Cursor terug op Dell laptop Windows 10?
Hoe krijg ik Cursor terug op Dell laptop Windows 10?
Bloggen
Wat is de map Catroot en Catroot2? Hoe de catroot2-map in Windows 10 te resetten
Wat is de map Catroot en Catroot2? Hoe de catroot2-map in Windows 10 te resetten
Ramen
Gratis schijf- en partitiebeheersoftware voor Windows 10
Gratis schijf- en partitiebeheersoftware voor Windows 10
Downloaden
Populaire Berichten
Wie Zijn Wij?
Prankmike Geeft Tips, Richtlijnen, Instructies Voor Windows 10, Functies En Vrije Software.
Categorieën
Meest Bekeken
Copyright © 2024Alle Rechten Voorbehouden | prankmike.com | Privacybeleid