- Аудит событий входа в систему Audit account logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит системных событий Audit system events
- Настройка этого параметра аудита Configure this audit setting
- Аудит входа в систему Audit Logon
Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Аудит системных событий Audit system events
Область применения Applies to
Определяет, следует ли проводить аудит, когда пользователь перезапускает или выключает компьютер, или когда происходит событие, которое влияет либо на безопасность системы, либо на журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: Default:
- Успех на контроллерах домена. Success on domain controllers.
- Аудит на серверах-членах не проводится. No auditing on member servers.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит входа в систему Audit Logon
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит входа определяет, генерирует ли операционная система события аудита при попытке пользователя войти на компьютер. Audit Logon determines whether the operating system generates audit events when a user attempts to log on to a computer.
Эти события связаны с созданием сеансов входов и происходят на компьютере, к нему был доступ. These events are related to the creation of logon sessions and occur on the computer that was accessed. Для интерактивного входа события создаются на компьютере, на который был внесен вход. For an interactive logon, events are generated on the computer that was logged on to. При входе в сеть, например при доступе к ресурсу, события создаются на компьютере, на котором размещен ресурс, к нему был доступ. For a network logon, such as accessing a share, events are generated on the computer that hosts the resource that was accessed.
Записываются следующие события: The following events are recorded:
Успешное и неудачное влияние в системы. Logon success and failure.
Попытки входа с использованием явных учетных данных. Logon attempts by using explicit credentials. Это событие создается, когда процесс пытается войти в учетную запись, явно указав учетные данные этой учетной записи. This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. Это чаще всего происходит в пакетных конфигурациях, таких как запланированные задачи, или при использовании команды RunAs. This most commonly occurs in batch configurations such as scheduled tasks, or when using the RunAs command.
Идентификаторы безопасности фильтруются. Security identifiers (SIDs) are filtered.
События для работы с клиентами необходимы для отслеживания активности пользователей и обнаружения потенциальных атак. Logon events are essential to tracking user activity and detecting potential attacks.
Том события: Event volume:
Мало на клиентских компьютерах. Low on a client computer.
Средний на контроллерах домена или сетевых серверах. Medium on a domain controllers or network servers.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
Список событий: Events List:
4624(S): учетная запись успешно вошел в систему. 4624(S): An account was successfully logged on.
4625(F): учетной записи не удалось войти в систему. 4625(F): An account failed to log on.
4648(S): попытка входа с использованием явных учетных данных. 4648(S): A logon was attempted using explicit credentials.
4675(S): фильтруются ИД безопасности. 4675(S): SIDs were filtered.
