故障排除

验证所需的审计策略和安全日志设置是否已配置：

• 使用域管理员凭据登录到任何安装有组策略管理控制台 (GPMC) 的计算机。
• 打开 GPMC，右键单击组策略结果，选择组策略结果向导。选择计算机，然后选择用户（当前用户）。
• 验证所需的设置是否已配置。

验证所需的对象级审计设置是否已配置：

检查相关域控制器、Windows 服务器和工作站的对象级审计是否已配置。

验证所需事件是否被记录：

• 使用域管理员凭据登录到任何计算机。
• 打开运行，输入 eventvwr.msc。右键单击事件查看器。
• 连接到目标计算机，然后验证以下事件 ID 是否在可移动存储设备类别下被记录。
  • 事件 ID 4663：记录成功尝试写入或读取可移动存储设备的事件。
  • 事件 ID 6416：记录可移动设备插件的事件。

查看/编辑可移动存储审计的审计操作

• 登录到 ADAudit Plus 的网络控制台 → 配置选项卡 → 配置 → 高级配置。
• 在类别下拉菜单中，选择可移动存储审计，然后选择您要查看/编辑的审计操作。

查看/编辑报表配置文件

• 登录到 ADAudit Plus 的网络控制台 → 配置选项卡 → 报表配置文件 → 查看/修改报表配置文件。
• 在域下拉菜单中选择您的域。
• 在类别下拉菜单中选择可移动存储审计，然后选择您要查看/编辑的报表配置文件。