配置审核策略

自动配置

必须配置审计策略，以确保在发生任何活动时均会记录事件。提供域管理员凭据后，Log360 Cloud会自动配置Active Directory审计所需的审计策略。

注意：未经用户同意，不会自动配置审计策略。

配置审计策略：

• 登录到 Log360 Cloud web控制台。
• 转到 报告 → GPO管理 → GPO历史.
• 在GPO历史中，点击 对象级审计和需要配置审计策略以查看相关报告 → 了解更多.
• 在 需要配置审计策略以查看相关报告 消息中，点击配置。



• 在用户同意警告中，点击 确认 以配置审计策略。

你还可以通过以下步骤配置对象级审计：

• 登录到 Log360 Cloud web控制台。
• 转到 域设置 并点击 审计策略：配置.



• 在用户同意警告中，点击 确认 以配置审计策略。

手动配置

必须配置审计策略，以确保在发生任何活动时均会记录事件。

配置高级审计策略

高级审计策略帮助管理员对要记录到日志中的活动进行细粒度控制，有助于减少事件噪音。

注意：建议在运行Windows Server 2008及以上的域控制器上配置高级审计策略。

配置方法：

• 登录到已安装 组策略管理控制台 (GPMC) 的计算机 并使用域管理员凭据.
• 打开 GPMC.
• 右键点击 默认域控制器策略 并点击 编辑.
• 在组策略管理编辑器中，转到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略.
• 双击相关 策略设置.
• 导航到右侧窗格并右键点击相关 子类别.
• 点击 属性 并选择 成功、失败或两者，按下表指示。

类别	子类别	审计事件
账户登录	审计Kerberos身份验证服务 审计其他账户登录事件	成功和失败
账户管理	审计计算机账户管理 审计分发组管理 审计安全组管理	成功
	审计应用组管理 审计其他账户管理事件 审计用户账户管理	成功和失败
详细跟踪	审计进程创建 审计进程终止	成功
	审计PNP活动	成功和失败
DS访问	审计目录服务访问 审计目录服务更改	成功
登录/注销	审计注销	成功
	审计登录 审计网络策略服务器 审计其他登录/注销事件 审计特殊登录	成功和失败
对象访问	审计其他对象访问事件	成功
	审计应用生成的事件 审计证书服务 审计可移动存储	成功和失败
策略更改	审计身份验证策略更改 审计授权策略更改	成功
系统	审核安全状态更改 审核安全系统扩展	成功
	审核系统完整性	成功和失败

图片显示， 账户登录类别 → 审核 Kerberos 身份验证服务子类别 → 配置了成功和失败.

强制执行高级审核策略

使用高级审核策略时，确保其优先于传统审核策略。

• 登录任何安装有 组策略管理控制台 (GPMC)的计算机，使用 并使用域管理员凭据.
• 打开 GPMC.
• 右键点击 默认域控制器策略 并点击 编辑.
• 在 Group Policy Management Editor，转到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 安全选项.
• 导航至右侧窗格，右键点击 审核：强制审核策略子类别设置.
• 选择 属性 并点击 启用.

配置传统审核策略

Windows Server 2003 及以下版本不支持高级审核策略，因此这些系统需要配置传统审核策略。

• 登录任何安装有 组策略管理控制台 (GPMC)的计算机，使用 并使用域管理员凭据.
• 打开 GPMC.
• 右键点击 默认域控制器策略 并点击 编辑.
• 在 Group Policy Management Editor，转到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略.
• 双击 审核策略.
• 导航至右侧窗格，右键点击 相关策略.
• 选择 属性 并选择 成功、失败或两者，按下表指示。

策略	策略设置
审核账户登录事件	成功和失败
审核账户管理	成功和失败
审核目录服务访问	成功
审核登录事件	成功和失败
审核对象访问	成功
审核策略更改	成功
审核进程跟踪	成功
审核系统事件	成功

图片显示： 审核账户登录事件类别 → 配置了成功和失败.

注意：要在 Log360 Cloud 中审核组策略设置更改，请在主域控制器 (PDC) 上安装代理，并确保域与已安装的代理关联。