任务目标

通过配置增强日志记录来增大日志量大小，避免由于日志文件容量过小导致日志记录不全；配置增强审核，对系统事件进行记录，在日后出现故障时用于排查审计。

任务步骤

1.配置增强日志记录

打开【事件查看器】窗口，打开【Windows 日志】文件，分别右键【应用程序】、【安全】和【系统】项，选择【属性】，根据磁盘空间修改【日志最大大小】，例如修改为20480。并勾选【日志满时将其存档，不覆盖事件】。

若要查看日志文件，可导航到【本地磁盘（C:）】-【Windows】-【System32】-【winevt】-【Logs】目录下进行查看。

2.配置增强审核

配置审核登录，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。打开【本地安全策略】控制台，选择【本地策略】-【审核策略】，双击设置【审核登录事件】，勾选【成功】和【失败】。

参考上一步操作，配置其余审核策略。

• 审核策略更改：成功
• 审核对象访问：成功
• 审核进程跟踪：成功，失败
• 审核目录服务访问：成功，失败
• 审核系统事件：成功，失败
• 审核帐户登录事件：成功，失败
• 审核帐户管理：成功，失败