Windows-Server-2012-R2

獲取 Windows 事件 ID 列表並確定啟用事件日誌記錄的審核策略的最有效方法是什麼?

  • March 4, 2020

我的環境中有大約 1500 台 Windows 伺服器,1000 台左右 2012 R2 和 500 台 2016。

我有一個大約 150 個事件 ID 的列表,我被告知要記錄和存檔。我不知道我需要啟用哪個審核策略才能成功審核每個策略。我不想打開所有東西,因為這樣做對性能的影響太大了。除了研究電子表格中的每個事件 ID 並確定我需要啟用哪個審計策略之外,還有更好的方法來完成這項任務嗎?

我知道我收藏這個網站是有原因的!

高級審核策略 – 哪個 GPO 對應哪個事件 ID

希望這能回答你的問題。

這裡還有一些資源:

Windows 10 和 Windows Server 2016 安全審核和監控參考

Windows 安全審核事件電子表格

我會看一下https://system32.eventsentry.com,它包含所有 Windows 安全事件的完整列表以及相關的審計子類別。

我認為沒有辦法編寫腳本,但希望它是一個起點。

引用自:https://serverfault.com/questions/1004086