什么是事件查看器中的审核成功或审核失败

为帮助解决问题，Windows 操作系统自带的事件查看器显示系统和应用程序消息的事件日志，其中包括错误、警告和有关特定事件的信息，管理员可以分析这些信息以采取必要的措施。 在这篇文章中，我们讨论了 事件查看器中的审核成功或审核失败.

什么是事件查看器中的审核成功或审核失败

在事件查看器中，Audit Success 是记录成功的已审核安全访问尝试的事件，而 Audit Failure 是记录失败的已审核安全访问尝试的事件。 我们将在以下小标题下讨论该主题：

1. 审计政策
2. 启用审计策略
3. 使用事件查看器查找失败或成功尝试的来源
4. 使用事件查看器的替代方法

让我们详细看看这些。

审计政策

审核策略定义记录在安全日志中的事件类型，这些策略生成事件，可以是成功事件或失败事件。 所有审计政策都会产生成功事件； 但是，其中只有少数会生成 Failure 事件。 可以配置两种类型的审计策略，即：

• 基本审计政策 有 9 个审计策略类别和 50 个审计策略子类别，可以根据要求启用或禁用。 以下是 9 个审计策略类别的列表。
  • 审计账户登录事件
  • 审核登录事件
  • 审计账户管理
  • 审核目录服务访问
  • 审核对象访问
  • 审核政策变更
  • 审计权限使用
  • 审计过程跟踪
  • 审核系统事件。 此策略设置确定是否在用户重新启动或关闭计算机时或在影响系统安全或安全日志的事件发生时进行审核。 有关详细信息和相关登录事件，请参阅 Microsoft 文档，网址为 learn.microsoft.com/basic-audit-system-events.
• 高级审计政策 它有 53 个类别，因此建议您使用它，因为您可以定义更细粒度的审计策略并仅记录相关事件，这在生成大量日志时特别有用。

审核失败通常在登录请求失败时生成，尽管它们也可能由帐户、对象、策略、特权和其他系统事件的更改生成。 两个最常见的事件是；

• 事件 ID 4771：Kerberos 预身份验证失败. 此事件仅在域控制器上生成，如果为帐户设置了不需要 Kerberos 预身份验证选项则不会生成。 有关此事件以及怎样解决此问题的更多信息，请参阅 微软文档.
• 事件 ID 4625：帐户登录失败. 假定用户已被锁定，当帐户登录尝试失败时会生成此事件。 有关此事件以及怎样解决此问题的更多信息，请参阅 微软文档.

读: 怎样在 Windows 中检查关机和启动日志

启用审计策略

您可以通过本地组策略编辑器或组策略管理控制台或本地安全策略编辑器在客户端或服务器计算机上启用审核策略。 在 Windows 服务器上，在您的域中，创建一个新的组策略对象，或者您可以编辑现有的 GPO。

在客户端或服务器计算机上，在组策略编辑器中，导航至以下路径：

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

在客户端或服务器计算机上，在本地安全策略中，导航到以下路径：

Security Settings > Local Policies > Audit Policy

• 在审核策略中，在右窗格中双击要编辑其属性的策略。
• 在属性面板中，您可以启用策略 成功 或者 失败 根据您的要求。

读: 怎样在 Windows 中将所有本地组策略设置重置为默认设置

使用事件查看器查找失败或成功尝试的来源

管理员和普通用户可以在具有适当权限的情况下在本地或远程计算机上打开事件查看器。 事件查看器现在将在每次发生失败或成功事件时记录一个事件，无论是在客户端计算机上还是在服务器计算机上的域中。 注册失败或成功事件时触发的事件 ID 不同（请参阅 审计政策 上一节）。 您可以导航到 事件查看器 > Windows 日志 > 安全. 中心的窗格列出了所有已设置用于审核的事件。 您将必须通过注册的事件来查找失败或成功的尝试。 找到它们后，您可以右键单击该事件并选择 事件属性 更多细节。

读: 使用事件查看器检查未经授权使用 Windows 计算机

使用事件查看器的替代方法

作为使用事件查看器的替代方法，有几种第三方事件日志管理器软件可用于聚合和关联来自各种来源的事件数据，包括基于云的服务。 如果需要从防火墙、入侵防御系统 (IPS)、设备、应用程序、交换机、路由器、服务器等收集和分析数据，SIEM 解决方案是更好的选择。

我希望你觉得这篇文章足够有用！

现在阅读: 怎样在 Windows 中启用或禁用受保护的事件日志记录

为什么审计成功和失败的访问尝试很重要？

审核登录事件对于检测入侵尝试是否成功至关重要，因为用户登录审核是检测所有未经授权的域登录尝试的唯一方法。 域控制器上不跟踪注销事件。 审计失败的文件访问尝试也同样重要，因为每次任何用户尝试访问具有匹配 SACL 的文件系统对象失败时都会生成审计条目。 这些事件对于跟踪敏感或有价值且需要额外监视的文件对象的活动至关重要。

读: 强化 Windows 登录密码策略和帐户锁定策略

怎样在 Active Directory 中启用审核失败日志？

要在 Active Directory 中启用审核失败日志，只需右键单击要审核的 Active Directory 对象，然后选择 特性. 选择 安全 选项卡，然后选择 先进的. 选择 审计 选项卡，然后选择 添加. 要查看 Active Directory 中的审核日志，请单击 开始 > 系统安全 > 管理工具 > 事件查看器. 在 Active Directory 中，审核是收集和分析 AD 对象和组策略数据以主动提高安全性、及时检测和响应威胁并保持 IT 运营平稳运行的过程。