Как да активирате одитирането по логване, за да проследявате дейностите по вход на потребителите на Windows
Винаги се чудите дали можете да проследявате дейностите на потребител за влизане в Windows, за да можете да имате запис на кой сте влезли в системата и кога да влезете? Това е напълно възможно в системата на Windows, използвайки функцията за локално одитиране. Проследяването на потребителски данни за влизане и излизане от дейности са много полезни в сървърни или организационни среди, където данните са поверителни и в ситуации, в които просто искате да знаете "кой е направил това" във вашата Windows система. По подразбиране функцията "Локално одитиране" е деактивирана в Windows. В тази статия нека видим как да активирате одита за вход и как да видите тези проследяващи събития на система Windows.
Забележка: Одитът за влизане е налице само в версиите Pro, Ultimate и Enterprise на Windows 8.
Какво представлява одитирането по "Логън"
Одитът за вход е вградена настройка за групови правила на Windows, която позволява на администратор на Windows да регистрира и одитира всяко потребителско приложение за влизане и изключване на дейности на локален компютър или мрежа. Заедно с влизането и излизането от събитие, тази функция може да проследява и неуспешните опити за влизане. Това е особено полезно при определянето и анализа на всички атаки на вашата машина на Windows.
Активиране на одита за влизане
За да активирате функцията за опити за вход, трябва да конфигурирате настройките на Group Policy на Windows. Натиснете "Win + R", въведете gpedit.msc
и натиснете бутона Enter, за да отворите Windows Group Policy Editor.
След като сте в редактора на груповите правила, отворете "Компютърна конфигурация -> Настройки на Windows -> Настройки за защита -> Местни правила" и след това изберете "Одиторска политика" в левия прозорец.
Горното действие ще ви покаже някои правила в десния панел. Тук кликнете двукратно върху "Одиторски събития за влизане в събития", за да я отворите. Моля, не бъркайте "събития при влизане в одита" с "Събития за влизане в одиторски акаунти", тъй като това е настройка за напълно различна цел.
Щом отворите прозореца, маркирайте квадратчетата "Success" и "Failure." Сега кликнете върху бутоните "Apply" и "Ok", за да запазите промените.
Това е всичко, което трябва да направите. От тази точка напред всеки вход, излизане и неуспешни опити за влизане ще бъдат записани в Event Viewer като събития.
Вижте събития за одит при влизане
Можете да видите всички входни данни, изход и неуспешни събития за опит за влизане в Windows Event Viewer. Можете да стартирате инструмента за преглед на събития, като потърсите в стартовото меню. Ако използвате Windows 8, можете да стартирате същото като използвате менюто Power User (Win + X).
След като стартирате програмата за разглеждане на събития, отворете Windows Logs и след това в раздела Security.
Тук ще намерите всички събития, свързани със сигурността, които се случиха във вашата Windows система. Ако кликнете два пъти върху ключовата дума "Одит успех", ще намерите подробности като потребител, който е бил влязъл или излезли, времеви печат и т.н. Като съвет, можете да филтрирате дневниците на събития, като използвате "Идент. № на събитието "Или" Категория на задачите ". Както виждате от изображението по-долу, Logon Auditing също проследява всички неуспешни опити за влизане.
Това е всичко, което трябва да направите, и е толкова лесно да проследявате влизанията на потребителите във вашата Windows система.
Надяваме се, че това помага и правете коментар по-долу, ако имате проблеми, като същевременно активирате функцията за опити за вход в Windows.