- Аудит выхода из системы Audit Logoff
- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
- Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
- Элемент «Пользователь» и его атрибуты User element and attributes
- Элемент «Журнал» и его атрибуты Log element and attributes
- Примеры Examples
- Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
Аудит выхода из системы Audit Logoff
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Журнал аудита определяет, генерирует ли операционная система события аудита при завершении сеансов входа. Audit Logoff determines whether the operating system generates audit events when logon sessions are terminated.
Эти события происходят на компьютере, к нему был доступ. These events occur on the computer that was accessed. Для интерактивного входа эти события создаются на компьютере, на который был внесен вход. For an interactive logon, these events are generated on the computer that was logged on to.
В этой подкатегории событие сбоя не происходит, так как неудачные отказы (например, при резком закрытии системы) не создают запись аудита. There is no failure event in this subcategory because failed logoffs (such as when a system abruptly shuts down) do not generate an audit record.
События для работы с учетом учетных записей необходимы для понимания действий пользователей и обнаружения потенциальных атак. Logon events are essential to understanding user activity and detecting potential attacks. События logoff не являются 100% надежными. Logoff events are not 100 percent reliable. Например, компьютер можно отключить без надлежащего входа и завершения работы; в этом случае событие выйдите из нее не создается. For example, the computer can be turned off without a proper logoff and shutdown; in this case, a logoff event is not generated.
Объем события: высокий. Event volume: High.
Эта подкатегория позволяет проводить аудит событий, созданных при закрытии сеанса. This subcategory allows you to audit events generated by the closing of a logon session. Эти события происходят на компьютере, к нему был доступ. These events occur on the computer that was accessed. Для интерактивного входа создается событие аудита безопасности на компьютере, на который вошел учетная запись пользователя. For an interactive logoff, the security audit event is generated on the computer that the user account logged on to.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа аудита, а не событий logoff. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраии аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа аудита, а не событий logoff. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Workstation Workstation | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа в систему аудита, а не событий входа в систему. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
Список событий: Events List:
4634(S): учетная запись была отключена. 4634(S): An account was logged off.
4647(S): пользователь инициировал вход. 4647(S): User initiated logoff.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
Область применения: Applies to:
- Windows 10 версии 1607 и выше Windows 10, version 1607 and later
- Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later
Windows Information Protection (WIP) создает события аудита в следующих случаях: Windows Information Protection (WIP) creates audit events in the following situations:
Когда сотрудник изменяет значение параметра «Владение файлом» с Рабочий на Личный. If an employee changes the File ownership for a file from Work to Personal.
Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу If data is marked as Work, but shared to a personal app or webpage. (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу). For example, through copying and pasting, dragging and dropping, sharing a contact, uploading to a personal webpage, or if the user grants a personal app provides temporary access to a work file.
Когда приложение имеет пользовательские события аудита. If an app has custom audit events.
Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Collect the WIP audit logs from your employee’s devices by following the guidance provided by the Reporting configuration service provider (CSP) documentation. Этот раздел содержит сведения о фактических событиях аудита. This topic provides info about the actual audit events.
Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML. The Data element in the response includes the requested audit logs in an XML-encoded format.
Элемент «Пользователь» и его атрибуты User element and attributes
В данной таблице содержатся все доступные атрибуты для элемента Пользователь. This table includes all available attributes for the User element.
| Атрибут Attribute | Тип значения Value type | Описание Description |
|---|---|---|
| UserID UserID | Строка String | Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. The security identifier (SID) of the user corresponding to this audit report. |
| EnterpriseID EnterpriseID | Строка String | Идентификатор предприятия, соответствующий данному отчету об аудите. The enterprise ID corresponding to this audit report. |
Элемент «Журнал» и его атрибуты Log element and attributes
В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. This table includes all available attributes/elements for the Log element. Ответ может содержать ноль (0) или несколько элементов Журнал. The response can contain zero (0) or more Log elements.
| Атрибут/элемент Attribute/Element | Тип значения Value type | Описание Description |
|---|---|---|
| ProviderType ProviderType | Строка String | Всегда EDPAudit. This is always EDPAudit. |
| LogType LogType | Строка String | Включает: Includes:
|
| TimeStamp TimeStamp | Целое число Int | Использует структуру FILETIME для обозначения времени события. Uses the FILETIME structure to represent the time that the event happened. |
| Политика Policy | Строка String | Способ передачи рабочих данных в личное расположение: How the work data was shared to the personal location:
|
| Обоснование Justification | Строка String | Не реализовано. Not implemented. Это значение всегда будет пустым или NULL. This will always be either blank or NULL. Примечание Note |
| Объект Object | Строка String | Описание рабочих данных, к которым был осуществлен личный доступ. A description of the shared work data. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. For example, if an employee opens a work file by using a personal app, this would be the file path. |
| DataInfo DataInfo | Строка String | Любая дополнительная информация о том, каким образом был изменен рабочий файл: Any additional info about how the work file changed:
|
| Действие Action | Целое число Int | Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: Provides info about what happened when the work data was shared to personal, including:
|
| FilePath FilePath | Строка String | Путь к файлу, указанному в событии аудита The file path to the file specified in the audit event. (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте). For example, the location of a file that’s been decrypted by an employee or uploaded to a personal website. |
| SourceApplicationName SourceApplicationName | Строка String | Исходное приложение или веб-сайт. The source app or website. Для исходного приложения это удостоверение AppLocker. For the source app, this is the AppLocker identity. Для исходного веб-сайта это имя узла. For the source website, this is the hostname. |
| SourceName SourceName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания источника рабочих данных. It’s intended to describe the source of the work data. |
| DestinationEnterpriseID DestinationEnterpriseID | Строка String | Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. The enterprise ID value for the app or website where the employee is sharing the data. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. NULL, Personal, or blank means there’s no enterprise ID because the work data was shared to a personal location. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений. Because we don’t currently support multiple enrollments, you’ll always see one of these values. |
| DestinationApplicationName DestinationApplicationName | Строка String | Целевое приложение или веб-сайт. The destination app or website. Для целевого приложения это удостоверение AppLocker. For the destination app, this is the AppLocker identity. Для целевого веб-сайта это имя узла. For the destination website, this is the hostname. |
| DestinationName DestinationName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания назначения передачи рабочих данных. It’s intended to describe the destination of the work data. |
| Приложение Application | Строка String | Удостоверение AppLocker приложения, в котором произошло событие аудита. The AppLocker identity for the app where the audit event happened. |
Примеры Examples
Вот несколько примеров ответов от поставщика службы конфигурации отчетов. Here are a few examples of responses from the Reporting CSP.
Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
1 1 0 SyncHdr 200 2 1 2 Replace 200 3 1 4 Get 200 4 1 4 ./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs
