[root@rock:/var/log/audit] : service auditd status
Redirecting to /bin/systemctl status auditd.service
auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-01-11 08:24:35 ES
我在2008年的R2服务器上得到了大量的5061和5058个条目,尽管审计策略应该禁止这些条目。为什么?
auditpol /get /category:*返回以下内容。
System
....
Other System Events No Auditing
....
根据我在Windows安全审计的新进展的阅读,这应该是负责记录“密码、密钥文件和迁移操作”的策略。
这些事件都是来自Microsoft Software Key Storage Provider的,并且都集中在打开和管理密钥上,所以这里定义的审计策略确实应该涵盖这些事件。
我遗