Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!
Эти события пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью.
Когда мое исследование было завершено, я выставил параметры расширенного аудита в групповой политике в «Not configured». К моему удивлению после применения политик к домен-контроллерам в журнал Security события аудита не начали поступать – классическая система аудита не включилась. Загадка!
В библиотеке Technet была найдена статья, которая ясно описывала шаги по отключению расширенного аудита:
1.Set all Advanced Audit Policy sub-categories to Not configured.
2.Delete all audit.csv files from the %SYSVOL% folder on the domain controller.
3.Reconfigure and apply the basic audit policy settings.
И так первый шаг мной уже сделан. Удалил файл audit.csv и обновил политики на домен-контроллерах. Не помогло!
Поискал файл audit.csv локально на домен-контроллере и нашел в двух местах C:\Windows\System32\GroupPolicy\ и C:\Windows\security\audit. Обновил политики – не помогло. Чудеса!
Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново и опять сохранить. Затем применить обновленную политику. (Может достаточно передернуть одну настройку аудита, чтобы раздел GPO обновился и применился?)
Сразу после этого в журнал Security на домен-контроллерах полетели события.
Не зря сказано: слово из песни не выбросишь!
Полезные ссылки:
1. Advanced Security Audit Policy Step-by-Step Guide
2. Advanced Security Auditing in Windows 7 and Windows Server 2008 R2
3. Getting the Effective Audit Policy in Windows 7 and 2008 R2
4. Advanced Security Auditing FAQ
Filed under: Active Directory, Windows | Tagged: Active Directory, Audit, Group Policy |
ILYA Sazonov: ITPro 
«Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново ….» Илья подскажите что значит сохранить, ведь в политиках не такой «кнопки»??
«Ok» нажмите.
Огромное спасибо, коллега, за этот материал. Сэкономил кучу времени на этих же граблях. Один вопрос — не могу понять, где именно нужно искать события после включения расширенного аудита, где этот пресловутый журнал Microsoft-Windows-Audit в Win2008R2 ?
Заранее благодарен.
Его не видно, если расширенный аудит не включен.
Посмотрите так Get-WinEvent -ListLog Microsoft-Windows-Audit/Analytic | fl *
Все понятно, спасибо.
Весьма муторная тема с этим расширенным аудитом, учитывая, что доменов в хозяйстве с десяток :(
Может проще вернуться к базовому аудиту, увеличив размер журнала и закрыв глаза на кучку лишних событий ?
Если вам хватает возможностей обычного аудита, то включать расщиренный нет смысла.
Возможностей хватает, но есть единственная проблема — слишком много никчемных событий, которые забивают журнал. За сутки 256 Мб журнала — норма. Если бы можно было бы просто отключить мусор, не настраивая расширенный режим — было бы прекрасно.