Slik aktiverer du Logon Auditing for å spore påloggingsaktiviteter for Windows-brukere
Noen gang lurt på om du kan spore brukerinnloggingsaktiviteter i Windows, slik at du kan få oversikt over hvem som er logget inn og når de logger inn? Dette er helt mulig i Windows-systemet ved hjelp av funksjonen Logon Auditing. Sporing av brukerinnlogging og logg av aktiviteter er svært nyttig i server- eller organisasjonsmiljøer der data er konfidensielt og i situasjoner hvor du bare vil vite "hvem gjorde dette" i Windows-systemet. Som standard er funksjonen Logon Auditing deaktivert i Windows. I denne artikkelen kan vi se hvordan du aktiverer Logon Auditing og hvordan du ser disse sporingshendelsene på et Windows-system.
Merk: Logon Auditing er bare tilgjengelig i Pro, Ultimate og Enterprise versjoner av Windows 8.
Hva er Logon Auditing
Logon Auditing er en innebygd Windows Group Policy Setting som gjør det mulig for en Windows-administrator å logge og revidere hver forekomst av brukerinnlogging og logg av aktiviteter på en lokal datamaskin eller over et nettverk. Sammen med logg inn og logge av hendelsespakking, kan denne funksjonen også spore eventuelle mislykkede forsøk på å logge inn. Dette er spesielt nyttig når det gjelder å bestemme og analysere angrep på Windows-maskinen din.
Aktiver Logon Auditing
For å aktivere Logon Auditing, må vi konfigurere innstillinger for gruppegruppe for Windows. Trykk "Win + R", skriv gpedit.msc
og trykk Enter for å åpne Windows Group Policy Editor.
Når du er i gruppepolicyredigeringen, naviger til "Datamaskinkonfigurasjon -> Windows Innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer" og velg deretter "Revisjonspolitikk" i venstre rute.
Ovenstående handling vil vise deg noen retningslinjer i høyre rute. Her dobbeltklikker du på "Audit Logon Events" -politikken for å åpne den. Vennligst ikke forveksle "Revisjons påloggingsarrangementer" med "Innlogging av revisjonskonto", da det er en innstilling for en helt annen hensikt.
Når vinduet er åpnet, velg både avmerkingsboksene "Suksess" og "Feil." Klikk nå på "Apply" og "Ok" -knappene for å lagre endringene.
Det er alt der er å gjøre. Fra dette punktet vil alle logger, logger av og mislykkede loggforsøk bli logget inn i hendelsesvisningen som hendelser.
Se påloggingsgranskningsarrangementer
Du kan se alle logg inn, logge av og mislykkede logg på forsøkshendelser i Windows Event Viewer. Du kan starte Event Viewer ved å søke i startmenyen. Hvis du bruker Windows 8, kan du starte det samme ved hjelp av Power User-menyen (Win + X).
Når du har lansert Event Viewer, navigerer du til Windows Logs og deretter til Security-fanen.
Her finner du alle sikkerhetsrelaterte hendelsene som skjedde i Windows-systemet. Hvis du dobbeltklikker på søkeordet "Auditsuksess", vil du finne ut detaljene som brukeren som er logget inn eller logget ut, tidsstempel osv. Som et tips kan du filtrere hendelsesloggene med "Event ID "Eller" Oppgavekategori. "Som du kan se fra bildet nedenfor, følger Logon Auditing også eventuelle mislykkede påloggingsforsøk.
Det er alt du trenger å gjøre, og det er så enkelt å spore brukerinnlogginger i Windows-systemet.
Forhåpentligvis hjelper det, og gjør kommentaren nedenfor hvis du møter eventuelle problemer mens du aktiverer funksjonen Logon Auditing i Windows.