当事件未被报告时的故障排除技巧

验证是否配置了所需的审核策略和安全日志设置

• 使用域管理员凭据，登录任一安装了Group Policy Management Console (GPMC)的计算机。
• 打开GPMC，右键点击Group Policy Results，选择Group Policy Results Wizard。选择计算机，然后选择用户（当前用户）。
• 验证所需设置是否已配置。

验证是否配置了所需的对象级审核设置

检查相关的域控制器、Windows服务器和工作站是否配置了对象级审核.

验证是否记录了所需的事件

• 使用域管理员凭据登录任一计算机。
• 打开运行，输入eventvwr.msc。右键点击事件查看器。
• 连接到目标计算机，然后验证以下事件ID是否在可移除存储设备类别下被记录。
  • 事件ID 4663：记录成功尝试写入或读取可移除存储设备的操作。
  • 事件ID 6416：记录可移除设备的插入。

查看/编辑可移除存储审核的审核操作

• 登录至ADAudit Plus的网页控制台 → 配置选项卡 → 配置 → 高级配置。
• 在类别下拉菜单中选择可移除存储审核，选择您要查看/编辑的审核操作。

查看/编辑可移除存储审核的报告配置文件

• 登录至ADAudit Plus的网页控制台 → 配置选项卡 → 报告配置文件 → 查看/修改报告配置文件。
• 在域下拉菜单中选择您的域。
• 在类别下拉菜单中选择可移除存储审核，然后选择您要查看/编辑的报告配置文件。