เมื่อพูดถึงตัวแสดงเหตุการณ์ มีผลลัพธ์สองประเภทที่คุณจะได้รับจากการตรวจสอบ นั่นคือ สำเร็จหรือล้มเหลว แต่แต่ละคนหมายความว่าอย่างไร? นี่คือคำอธิบายสั้น ๆ ของแต่ละข้อ
ความสำเร็จในการตรวจสอบ
ความสำเร็จในการตรวจสอบหมายความว่าการดำเนินการที่ตรวจสอบเสร็จสมบูรณ์แล้ว นี่อาจเป็นบางอย่างเช่นผู้ใช้เข้าสู่ระบบหรือกระบวนการที่กำลังทำงาน โดยพื้นฐานแล้ว อะไรก็ตามที่คุณกำหนดค่า Event Viewer เพื่อติดตามและรายงาน
ความล้มเหลวในการตรวจสอบ
ในทางกลับกัน ความล้มเหลวในการตรวจสอบหมายความว่าการดำเนินการที่ตรวจสอบไม่เสร็จสมบูรณ์ ซึ่งอาจเกิดจากสาเหตุหลายประการ เช่น การป้อนรหัสผ่านไม่ถูกต้อง หรือผู้ใช้ไม่มีสิทธิ์ที่จำเป็นในการดำเนินการดังกล่าว อีกครั้ง สิ่งที่คุณกำหนดค่า Event Viewer เพื่อติดตามและรายงานอาจส่งผลให้การตรวจสอบล้มเหลว
คุณเข้าใจแล้ว – คำอธิบายอย่างรวดเร็วเกี่ยวกับความสำเร็จและความล้มเหลวในการตรวจสอบใน Event Viewer และเช่นเคย หากคุณมีคำถามใดๆ โปรดอย่าลังเลที่จะติดต่อทีมผู้เชี่ยวชาญด้านไอทีของเรา
เพื่อช่วยในการแก้ไขปัญหา ตัวแสดงเหตุการณ์ในตัวระบบปฏิบัติการ Windows จะแสดงบันทึกของระบบและข้อความแอปพลิเคชันที่มีข้อผิดพลาด คำเตือน และข้อมูลเหตุการณ์เฉพาะที่ผู้ดูแลระบบสามารถวิเคราะห์เพื่อดำเนินการที่เหมาะสม ในโพสต์นี้เราคุยกัน การตรวจสอบสำเร็จหรือการตรวจสอบล้มเหลวในตัวแสดงเหตุการณ์ .
ความสำเร็จในการตรวจสอบหรือความล้มเหลวในการตรวจสอบใน Event Viewer คืออะไร
ในตัวแสดงเหตุการณ์ การตรวจสอบความสำเร็จ เป็นเหตุการณ์ที่บันทึกความพยายามในการเข้าถึงที่ปลอดภัยที่ยืนยันสำเร็จ ในขณะที่ ข้อผิดพลาดในการตรวจสอบ เป็นเหตุการณ์ที่บันทึกความพยายามไม่สำเร็จในการเข้าถึงที่ปลอดภัยที่ผ่านการยืนยัน เราจะหารือเกี่ยวกับหัวข้อนี้ในหัวข้อย่อยต่อไปนี้:
- นโยบายการตรวจสอบ
- เปิดใช้งานนโยบายการตรวจสอบ
- ใช้ตัวแสดงเหตุการณ์เพื่อค้นหาแหล่งที่มาของความพยายามที่ล้มเหลวหรือสำเร็จ
- ทางเลือกอื่นในการใช้ Event Viewer
ลองดูที่รายละเอียดนี้
นโยบายการตรวจสอบ
นโยบายการตรวจสอบกำหนดประเภทของเหตุการณ์ที่เขียนลงในบันทึกความปลอดภัย และนโยบายเหล่านี้สร้างเหตุการณ์ที่สามารถสำเร็จหรือล้มเหลว นโยบายการตรวจสอบทั้งหมดจะสร้าง ขอให้โชคดี เหตุการณ์ ; อย่างไรก็ตาม, มีเพียงไม่กี่คนเท่านั้นที่จะสร้างขึ้น เหตุการณ์ความล้มเหลว . คุณสามารถกำหนดค่านโยบายการตรวจสอบได้สองประเภท ได้แก่:
- นโยบายการตรวจสอบขั้นพื้นฐาน มีหมวดหมู่นโยบายการตรวจสอบ 9 ประเภทและหมวดหมู่ย่อยของนโยบายการตรวจสอบ 50 รายการที่สามารถเปิดใช้งานหรือปิดใช้งานได้ตามต้องการ ด้านล่างนี้คือรายการนโยบายการตรวจสอบ 9 ประเภท
- ตรวจสอบกิจกรรมการเข้าสู่ระบบบัญชี
- ตรวจสอบเหตุการณ์การเข้าสู่ระบบ
- การตรวจสอบการจัดการบัญชี
- การตรวจสอบการเข้าถึงบริการไดเรกทอรี
- การตรวจสอบการเข้าถึงวัตถุ
- การเปลี่ยนแปลงนโยบายการตรวจสอบ
- การใช้สิทธิ์การตรวจสอบ
- การติดตามกระบวนการตรวจสอบ
- เหตุการณ์ระบบการตรวจสอบ การตั้งค่านโยบายนี้กำหนดว่าจะตรวจสอบเมื่อผู้ใช้รีสตาร์ทหรือปิดเครื่องคอมพิวเตอร์ หรือเมื่อเกิดเหตุการณ์ที่ส่งผลต่อความปลอดภัยของระบบหรือบันทึกความปลอดภัย สำหรับข้อมูลเพิ่มเติมและกิจกรรมการเข้าสู่ระบบที่เกี่ยวข้อง โปรดดูเอกสารประกอบของ Microsoft ที่ Learn.microsoft.com/Basic-Audit-System-Events .
- นโยบายการตรวจสอบขั้นสูง ขอแนะนำซึ่งมี 53 หมวดหมู่ เนื่องจากคุณสามารถกำหนดนโยบายการตรวจสอบที่ละเอียดยิ่งขึ้น และบันทึกเฉพาะเหตุการณ์ที่เกี่ยวข้อง ซึ่งมีประโยชน์อย่างยิ่งเมื่อสร้างบันทึกจำนวนมาก
ข้อผิดพลาดในการตรวจสอบมักเกิดขึ้นเมื่อคำขอเข้าสู่ระบบล้มเหลว แม้ว่าอาจเกิดจากการเปลี่ยนแปลงบัญชี ออบเจกต์ นโยบาย สิทธิ์ และเหตุการณ์อื่นๆ ของระบบ เหตุการณ์ที่พบบ่อยที่สุด 2 เหตุการณ์คือ:
- รหัสเหตุการณ์ 4771: การรับรองความถูกต้องล่วงหน้าของ Kerberos ล้มเหลว . เหตุการณ์นี้สร้างขึ้นบนตัวควบคุมโดเมนเท่านั้น และจะไม่ถูกสร้างถ้า ไม่ต้องการการตรวจสอบสิทธิ์ล่วงหน้าของ Kerberos ตัวเลือกถูกตั้งค่าสำหรับบัญชี สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์นี้และวิธีแก้ไขปัญหานี้ โปรดดูที่ เอกสารประกอบของ Microsoft .
- รหัสเหตุการณ์ 4625: ไม่สามารถลงชื่อเข้าใช้บัญชี . เหตุการณ์นี้เกิดขึ้นเมื่อการพยายามเข้าสู่ระบบบัญชีล้มเหลว และผู้ใช้ถูกล็อคไม่ให้เข้าใช้งาน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์นี้และวิธีแก้ไขปัญหานี้ โปรดดูที่ เอกสารประกอบของ Microsoft .
อ่าน : วิธีตรวจสอบการปิดระบบและบันทึกการเริ่มต้นระบบใน Windows
เปิดใช้งานนโยบายการตรวจสอบ
คุณสามารถเปิดใช้งานนโยบายการตรวจสอบบนเครื่องไคลเอนต์หรือเซิร์ฟเวอร์ผ่าน Local Group Policy Editor หรือ Group Policy Management Console หรือ ตัวแก้ไขนโยบายความปลอดภัยในเครื่อง . บนเซิร์ฟเวอร์ Windows ในโดเมนของคุณ ให้สร้าง GPO ใหม่หรือแก้ไข GPO ที่มีอยู่
บนคอมพิวเตอร์ไคลเอนต์หรือเซิร์ฟเวอร์ ในตัวแก้ไขนโยบายกลุ่ม ให้นำทางไปยังเส้นทางต่อไปนี้:
|_+_|บนคอมพิวเตอร์ไคลเอนต์หรือเซิร์ฟเวอร์ ในนโยบายความปลอดภัยในเครื่อง ให้นำทางไปยังเส้นทางต่อไปนี้:
|_+_|- ในนโยบายการตรวจสอบในบานหน้าต่างด้านขวา คลิกสองครั้งที่นโยบายที่มีคุณสมบัติที่คุณต้องการเปลี่ยนแปลง
- ในแผงคุณสมบัติ คุณสามารถเปิดใช้งานนโยบายสำหรับ ขอให้โชคดี หรือ การปฏิเสธ ตามความต้องการของคุณ
อ่าน : วิธีรีเซ็ตการตั้งค่านโยบายกลุ่มภายในทั้งหมดเป็นค่าเริ่มต้นใน Windows
ใช้ตัวแสดงเหตุการณ์เพื่อค้นหาแหล่งที่มาของความพยายามที่ล้มเหลวหรือสำเร็จ
ผู้ดูแลระบบและผู้ใช้ทั่วไปสามารถเปิด Event Viewer บนคอมพิวเตอร์ในระบบหรือระยะไกลโดยมีสิทธิ์ที่เหมาะสม ขณะนี้ตัวแสดงเหตุการณ์จะบันทึกเหตุการณ์ทุกครั้งที่เกิดความล้มเหลวหรือความสำเร็จ ไม่ว่าจะบนคอมพิวเตอร์ไคลเอ็นต์หรือโดเมนบนเซิร์ฟเวอร์ รหัสเหตุการณ์ที่เริ่มทำงานเมื่อลงทะเบียนเหตุการณ์ที่ล้มเหลวหรือสำเร็จนั้นแตกต่างกัน (ดูด้านล่าง) นโยบายการตรวจสอบ ด้านบน) คุณสามารถไปที่ ผู้ชมเหตุการณ์ > Windows วารสาร > ความปลอดภัย . แผงตรงกลางแสดงรายการกิจกรรมทั้งหมดที่กำหนดค่าไว้สำหรับการตรวจสอบ คุณจะต้องดูเหตุการณ์ที่บันทึกไว้เพื่อค้นหาความพยายามที่ล้มเหลวหรือสำเร็จ เมื่อคุณพบแล้ว คุณสามารถคลิกขวาที่เหตุการณ์และเลือก คุณสมบัติเหตุการณ์ รายละเอียดเพิ่มเติม.
อ่าน : ใช้ Event Viewer เพื่อตรวจสอบการใช้คอมพิวเตอร์ Windows โดยไม่ได้รับอนุญาต
ทางเลือกอื่นในการใช้ Event Viewer
นอกเหนือจากการใช้ Event Viewer ยังมีซอฟต์แวร์ Event Log Manager ของบริษัทอื่นหลายตัวที่สามารถใช้เพื่อรวบรวมและเชื่อมโยงข้อมูลเหตุการณ์จากแหล่งต่างๆ รวมถึงบริการคลาวด์ โซลูชัน SIEM เป็นตัวเลือกที่ดีที่สุด หากคุณต้องการรวบรวมและวิเคราะห์ข้อมูลจากไฟร์วอลล์ ระบบป้องกันการบุกรุก (IPS) อุปกรณ์ แอปพลิเคชัน สวิตช์ เราเตอร์ เซิร์ฟเวอร์ และอื่นๆ
cutepdf windows 10
หวังว่าคุณจะพบว่าโพสต์นี้ให้ข้อมูลเพียงพอ!
ตอนนี้อ่าน : วิธีเปิดหรือปิดการบันทึกเหตุการณ์ที่ปลอดภัยใน Windows
เหตุใดการตรวจสอบความพยายามในการเข้าถึงทั้งที่สำเร็จและล้มเหลวจึงมีความสำคัญ
สิ่งสำคัญคือต้องตรวจสอบเหตุการณ์การเข้าสู่ระบบ ไม่ว่าจะสำเร็จหรือไม่สำเร็จ เพื่อตรวจหาความพยายามในการบุกรุก เนื่องจากการตรวจสอบการเข้าสู่ระบบของผู้ใช้เป็นวิธีเดียวที่จะตรวจหาความพยายามในการเข้าสู่ระบบโดเมนที่ไม่ได้รับอนุญาตทั้งหมด เหตุการณ์การออกจากระบบจะไม่ถูกติดตามบนตัวควบคุมโดเมน สิ่งสำคัญไม่แพ้กันในการติดตามความพยายามในการเข้าถึงไฟล์ที่ล้มเหลว เนื่องจากรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ผู้ใช้พยายามเข้าถึงอ็อบเจ็กต์ระบบไฟล์ที่มี SACL ที่ตรงกันไม่สำเร็จ เหตุการณ์เหล่านี้จำเป็นต้องติดตามกิจกรรมของอ็อบเจ็กต์ไฟล์ที่ละเอียดอ่อนหรือมีค่า และต้องการการมอนิเตอร์เพิ่มเติม
อ่าน : เสริมสร้างนโยบายรหัสผ่านเข้าสู่ระบบ Windows และนโยบายการล็อกบัญชี
จะเปิดใช้งานบันทึกข้อผิดพลาดการตรวจสอบใน Active Directory ได้อย่างไร
หากต้องการเปิดใช้งานบันทึกข้อผิดพลาดในการตรวจสอบใน Active Directory เพียงคลิกขวาที่วัตถุ Active Directory ที่คุณต้องการตรวจสอบและเลือก ลักษณะเฉพาะ . เลือก ความปลอดภัย แท็บแล้วเลือก ขั้นสูง . เลือก การตรวจสอบ แท็บแล้วเลือก เพิ่ม . หากต้องการดูบันทึกการตรวจสอบใน Active Directory ให้คลิก เริ่มต้น > ความปลอดภัยของระบบ > เครื่องมือการจัดการ > ผู้ชมเหตุการณ์ . ใน Active Directory การตรวจสอบคือกระบวนการรวบรวมและวิเคราะห์วัตถุ AD และข้อมูล Group Policy เพื่อปรับปรุงความปลอดภัยเชิงรุก ตรวจจับและตอบสนองต่อภัยคุกคามอย่างรวดเร็ว และทำให้การดำเนินงานด้านไอทีดำเนินไปอย่างราบรื่น
