Ami*_*ine 5 windows-server-2003 logging
在 Windows Server 2003 上,有人删除了安全和应用程序日志。
我想知道日志何时被删除,如果可能的话,这个罪犯是谁。:)
在 Windows 2003 中,当安全日志被清除时,一个新事件会自动写入其中,其中包含您要查找的信息。
例子:
Event ID: 517
Source: Security
The audit log was cleared
Primary User Name: SYSTEM
Primary Domain: NT AUTHORITY
Primary Logon ID: (0x0,0x3E7)
Client User Name: User's Name
Client Domain: CompanyDomain
Client Logon ID: (0x0,0x493DDA90)
此事件记录表明审核日志已被清除。无论审计策略如何,始终会记录此事件。即使关闭审计,它也会被记录下来。
除此之外,您还必须有对象审计策略已经到位并配置为有任何机会获得系统用户采取的操作的额外日志。
| 归档时间: |
|
| 查看次数: |
18799 次 |
| 最近记录: |