Windows-Server-2012-R2
獲取 Windows 事件 ID 列表並確定啟用事件日誌記錄的審核策略的最有效方法是什麼?
我的環境中有大約 1500 台 Windows 伺服器,1000 台左右 2012 R2 和 500 台 2016。
我有一個大約 150 個事件 ID 的列表,我被告知要記錄和存檔。我不知道我需要啟用哪個審核策略才能成功審核每個策略。我不想打開所有東西,因為這樣做對性能的影響太大了。除了研究電子表格中的每個事件 ID 並確定我需要啟用哪個審計策略之外,還有更好的方法來完成這項任務嗎?
我知道我收藏這個網站是有原因的!
希望這能回答你的問題。
這裡還有一些資源:
我會看一下https://system32.eventsentry.com,它包含所有 Windows 安全事件的完整列表以及相關的審計子類別。
我認為沒有辦法編寫腳本,但希望它是一個起點。