故障排除

如何检查以确认审计策略已应用到被监控的工作站？

1. 使用域管理员凭据登录任何计算机。
2. 进入 开始 并输入 "命令提示符"。右键单击 命令提示符， 并选择 以管理员身份运行。
3. 输入 “gpresult /S <被监控计算机> /F /H a.html”.
4. 确保所有审计策略设置和安全日志设置均已就绪。

如何检查被监控事件是否已记录在工作站中

1. 使用域管理员凭据登录任何计算机。
2. 进入 开始;>运行。输入 "eventvwr.msc".
3. 在 事件查看器 窗口中，右键单击左上角的事件查看器并选择 连接到另一台计算机。 在 选择计算机 窗口打开后，勾选 另一台计算机 并输入要验证事件的计算机名。点击 浏览， 输入计算机名，点击 确定.
4. 点击 Windows 日志 > 安全.
5. 右键单击 安全，然后选择 筛选当前日志...
6. 通过在 <所有事件 ID> 文本框中输入事件记录时间或确切的事件 ID 来监控所需事件 ID。
7. 验证工作站中已记录事件后，关闭窗口。