设置 Windows 事件日志报表
最后更新于:
EventLog Analyzer内置1000余份预定义报表,助力企业查看整合的安全事件、执行安全审计并满足各类合规要求。这些报表可帮助企业可视化网络安全事件,满足多样化的安全与合规需求。
在本帮助文档中,您将学习如何设置 Windows 报表生成。
设置Windows报表生成
在事件日志分析器中,当添加监控设备并配置事件源后,大多数Windows报表将自动生成。有关设备添加方法,请参阅此页面;有关事件源配置方法,请参阅本页"如何在设备中配置事件源文件?"章节。
下表所列的特定报表需要手动在Windows注册表中创建键值。请按照以下步骤设置这些报表的生成:
- 请确保已在事件查看器中启用事件记录:右键单击事件源 > 属性> 勾选“启用记录”复选框。
- 打开注册表编辑器,导航至HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Service > EventLog。在此创建下表"新建键值"列所示的键值。
- 接着打开本地组策略编辑器,导航至计算机配置 > Windows设置 > 安全设置。后续路径及启用报表生成的步骤详见"审核策略"列。
| 报表 | 新键值 | 审核策略 | 其他先决条件 |
|---|---|---|---|
| 应用程序白名单报表 |
|
在应用程序控制策略下启用AppLocker |
|
| Windows 防火墙审核报表 |
|
启用审核MPSSVC规则 - 级别策略更改,位于高级审核策略配置 > 策略更改下。 | 要启用 Windows 防火墙日志,请在目标设备上执行以下命令(该设备将用于收集日志):
复制到剪贴板
auditpol.exe /set /subcategory:"MPSSVC规则级策略变更,过滤平台策略变更" /success:enable /failure:enable
复制到剪贴板
auditpol.exe /set /subcategory:"IPsec 主模式,IPsec 快速模式,IPsec 扩展模式" /success:enable /failure:enable
复制到剪贴板
auditpol.exe /set /subcategory:"IPsec 驱动程序、其他系统事件" /success:enable /failure:enable
复制到剪贴板
auditpol.exe /set /subcategory:"过滤平台丢包,过滤平台丢包" /success:enable /failure:enable |
| 可移动磁盘审核 |
|
在“高级审核策略配置”>“对象访问”下,启用“审核句柄操作”、“审核可移动存储”和“审核文件系统”(在 NT 版本 6.2 中审核删除操作所需)。 | 要开始记录可移动存储设备事件,请导航至计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage,添加名为HotPlugSecureOpen 的新DWORD注册表项,并将值 设置为1。 |
| 注册表修改 | 在“高级审核策略配置”>“对象访问”下启用注册表审核。 | 在注册表编辑器中右键单击所需注册表项,依次导航至权限 > 高级 > 注册表中的审核,为该注册表项设置安全访问控制列表 (SACL)。 | |
| Windows 备份和还原报表 |
|
无需修改。 | |
| Windows 系统事件 |
|
无需修改。 | |
| Hyper-V 服务器事件Hyper-V 虚拟机管理报表 |
|
无需修改。 | |
| 程序库存报表 |
|
无需修改。 | |
| IIS |
|
无需修改。 | 要访问 IIS 报表,请打开 EventLog Analyzer,然后导航至“报表”>“IIS W3C Web 服务器”>“IIS 管理配置报表”。 |
| 打印服务 |
|
无需修改。 | |
| 终端 |
|
无需修改。 |
EventLog Analyzer将开始生成表格中列出的报表。