Rozwiązywanie problemów

Aby zweryfikować, czy pożądane polityki audytu i ustawienia dziennika zabezpieczeń są skonfigurowane:

• Używając poświadczeń administratora domeny, zaloguj się na komputerze, który ma konsolę zarządzania zasadami grupy (GPMC).
• Otwórz GPMC, kliknij prawym przyciskiem myszy na Wyniki zasad grupy, a następnie wybierz Kreator wyników zasad grupy. Wybierz komputer, a potem użytkownika (obecnego użytkownika).
• Sprawdź, czy pożądane ustawienia są skonfigurowane.

Aby zweryfikować, czy pożądane ustawienia audytu na poziomie obiektu są skonfigurowane:

Sprawdź, czy audyt na poziomie obiektu jest skonfigurowany dla odpowiednich kontrolerów domeny, serwerów Windows i stacji roboczych.

Aby zweryfikować, czy pożądane zdarzenia są rejestrowane:

• Zaloguj się na dowolnym komputerze z poświadczeniami administratora domeny.
• Otwórz Uruchom, a następnie wpisz eventvwr.msc. Kliknij prawym przyciskiem myszy na Podgląd zdarzeń.
• Połącz się z docelowym komputerem, a następnie sprawdź, czy poniższe identyfikatory zdarzeń są rejestrowane w kategorii Urządzenie pamięci przenośnej.
  • Identyfikator zdarzenia 4663: rejestruje udane próby zapisu lub odczytu z urządzenia pamięci przenośnej.
  • Identyfikator zdarzenia 6416: rejestruje wtyczki urządzeń pamięci przenośnej.

Wyświetl/edytuj działania audytowe dla audytu pamięci przenośnej

• Zaloguj się do konsoli internetowej ADAudit Plus → zakładka Konfiguracja → Konfiguracja → Zaawansowane konfiguracje.
• W rozwijanym menu Kategoria wybierz Audyt pamięci przenośnej i wybierz działanie audytowe, które chcesz wyświetlić/edytować.

Wyświetl/edytuj profile raportów

• Zaloguj się do konsoli internetowej ADAudit Plus → zakładka Konfiguracja → Profile raportów → Wyświetl/Zmień profile raportów.
• Wybierz swoją domenę w rozwijanym menu Domena.
• W rozwijanym menu Kategoria wybierz Audyt pamięci przenośnej, a następnie wybierz profil raportu, który chcesz wyświetlić/edytować.