4 Аудит событий в Active Directory
В Windows Server 2008 необходимо настроить аудит события «Вход в систему» (успешный и неуспешный).
Откроем редактор групповых политик. Для этого в меню пуск в строке поиска напишем gpedit.msc (рисунок 4.1).
Рисунок 4.1 — Поиск в меню Пуск
В открывшемся окне переходим по пути: Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Локальные политики-Политика аудита (рисунок 4.2).
Рисунок 4.2 — Редактор локальной групповой политики
Два раза нажмем на параметр групповой политики Аудит входа в систему. Устанавливаем флажки для успешных и неудачных попыток доступа (рисунок 4.3).
Рисунок 4.3 — Установка аудита входа в систему
После включения данного параметра групповой политики, Windows будет записывать в журнал событий информацию об учетной записи с помощью которой произведен вход в систему, а также время, когда это событие произошло.
Для просмотра данных событий открываем Оснастку «Просмотр событий» — нажимаем меню Пуск — пишем в строку поиска «Просмотр событий» или открываем данный пункт в меню «Администрирование» (рисунок 4.4).
Рисунок 4.4 — Просмотр событий в меню «Пуск»
Пройдем по пути: Просмотр событий (Локальный) — Журналы Windows-Безопасность (рисунок 4.5).
Рисунок 4.5 — Меню просмотра событий
Выполним успешную попытку входа с PC-1 под учетной записью user-1, которая была создана ранее. В журнале появляется запись о событии входа, где указана дата, время, пользователь и ПК (рисунок 4.6).
Рисунок 4.6 — Событие успешного входа в систему
Введем при входе в систему неверный пароль, тогда получим следующее событие в журнале (рисунок 4.7). В нем указывается имя рабочей станции и причина сбоя.
Рисунок 4.7 — Событие при неудачном входе в систему
При выходе пользователя из системы также создается запись в журнале (рисунок 4.8).
Рисунок 4.8 — Событие выхода из системы
