獲取 Windows 事件 ID 列表並確定啟用事件日誌記錄的審核策略的最有效方法是什麼？

我的環境中有大約 1500 台 Windows 伺服器，1000 台左右 2012 R2 和 500 台 2016。

我有一個大約 150 個事件 ID 的列表，我被告知要記錄和存檔。我不知道我需要啟用哪個審核策略才能成功審核每個策略。我不想打開所有東西，因為這樣做對性能的影響太大了。除了研究電子表格中的每個事件 ID 並確定我需要啟用哪個審計策略之外，還有更好的方法來完成這項任務嗎？

我知道我收藏這個網站是有原因的！

高級審核策略 – 哪個 GPO 對應哪個事件 ID

希望這能回答你的問題。

這裡還有一些資源：

Windows 10 和 Windows Server 2016 安全審核和監控參考

Windows 安全審核事件電子表格

我會看一下https://system32.eventsentry.com，它包含所有 Windows 安全事件的完整列表以及相關的審計子類別。

我認為沒有辦法編寫腳本，但希望它是一個起點。

引用自：https://serverfault.com/questions/1004086