Windows 身份驗證日誌

Windows 域。

問題在於審計功能。我知道如何啟用審計Group policy，但有問題。我們的一個domain admins用 hyper-v 殺死了主機，我們不知道它是誰。登錄日誌group policy標準，在這台電腦上，現在被銷毀。

正如我所建議的那樣，目前的問題是無法解決的，但對於未來，我們需要某種工具來解決它。

我的第一個想法是在使用者登錄時啟動並插入 SQLpower shell的PHP腳本，但是如果使用者在其他電腦上登錄並從那裡執行\\computer\c$並殺死那裡的所有內容，那麼腳本將不會執行。

是否有windows某種工具或第三方軟體將日誌從電腦儲存到另一個地方，rsyslog即，或將目前電腦日誌複製到排除在域之外且只有本地使用者的某個伺服器上？

任何good practices讚賞。謝謝你。

Windows 事件轉發將滿足基本需求。

https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection

引用自：https://serverfault.com/questions/1023575