Använd den här sidan om du vill skapa en granskningsprincip för servrar i din organisation. Granskning är den process som spårar användarnas åtgärder och sparar valda typer av händelser i säkerhetsloggen. En granskningsprincip definierar vilka typer av händelser som du vill spara.

Insamling och övervakning av granskningshändelser tar upp diskutrymme och andra resurser. Innan du väljer en granskningsprincip bör du läsa artikeln "Auditing Security Events Best Practices" (https://go.microsoft.com/fwlink/?LinkId=92229).

Du kan använda Microsoft Operations Manager (MOM) för att samla granskningshändelser från flera servrar till en databas.

Följande tabell beskriver var och en av de tre granskningsprincipsmålsättningar som du kan välja med guiden Konfigurera säkerhet (SCW).

Granskningsprincipmål Beskrivning Händelsetyp och principinställningar

Granska inga aktiviteter

Ingen granskning utförs. CPU-cykler och diskutrymme sparas så att andra processer kan få bättre prestanda.

Varning

Ingen granskningsinformation kommer att vara tillgänglig för att upptäcka inkräktare, för att hitta obehöriga åtkomstförsök eller för något annat syfte.

Inga

Granska lyckade aktiviteter

Granskning av lyckade aktiviteter ger färre händelseloggposter än granskning av både framgångsrika och misslyckade aktiviteter. Använd detta alternativ om du bara vill registrera vad användarna faktiskt använt, inte vad de försökt att få åtkomst till.

OBS

Om du bara granskar lyckade aktiviteter kommer obehöriga intrångsförsök inte att visas i loggen. Obehöriga intrångsförsök kännetecknas av ett stort antal misslyckade aktiviteter.

Granska kontoinloggningar: Lyckade, misslyckade

Granska kontohantering: Lyckade

Granska katalogtjänståtkomst: Lyckade

Granska inloggningshändelser: Lyckade, misslyckade

Granska objektåtkomst: Lyckade

Granska principförändringar: Lyckade

Granska privilegierad användning: Granskas inte

Granska processpårning: Lyckade

Granska systemhändelser: Lyckade, misslyckade

Granska lyckade och misslyckade aktiviteter

Detta betyder att du avser att använda granskningshändelser för att spåra försök från användarna att få åtkomst till områden för vilka de inte har behörighet, utöver spårandet av lyckade aktiviteter.

OBS

Markera inte Granska lyckade och misslyckade aktiviteter om du inte granskar säkerhetsloggarna regelbundet. Om användare försöker få åtkomst till en resurs för vilken de inte har behörighet kan de skapa så många misslyckande försök att säkerhetsloggen blir full. När säkerhetsloggen blir full skrivs de äldsta posterna över.

Granska kontoinloggningar: Lyckade, misslyckade

Granska kontohantering: Lyckade, misslyckade

Granska katalogtjänståtkomst: Lyckade, misslyckade

Granska inloggningshändelser: Lyckade, misslyckade

Granska objektåtkomst: Lyckade, misslyckade

Granska principförändringar: Lyckade, misslyckade

Granska privilegierad användning: Granskas inte

Granska processpårning: Lyckade, misslyckade

Granska systemhändelser: Lyckade, misslyckade

Ytterligare referenser

Innehåll