Аудит выхода из системы Audit Logoff
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Журнал аудита определяет, генерирует ли операционная система события аудита при завершении сеансов входа. Audit Logoff determines whether the operating system generates audit events when logon sessions are terminated.
Эти события происходят на компьютере, к нему был доступ. These events occur on the computer that was accessed. Для интерактивного входа эти события создаются на компьютере, на который был внесен вход. For an interactive logon, these events are generated on the computer that was logged on to.
В этой подкатегории событие сбоя не происходит, так как неудачные отказы (например, при резком закрытии системы) не создают запись аудита. There is no failure event in this subcategory because failed logoffs (such as when a system abruptly shuts down) do not generate an audit record.
События для работы с учетом учетных записей необходимы для понимания действий пользователей и обнаружения потенциальных атак. Logon events are essential to understanding user activity and detecting potential attacks. События logoff не являются 100% надежными. Logoff events are not 100 percent reliable. Например, компьютер можно отключить без надлежащего входа и завершения работы; в этом случае событие выйдите из нее не создается. For example, the computer can be turned off without a proper logoff and shutdown; in this case, a logoff event is not generated.
Объем события: высокий. Event volume: High.
Эта подкатегория позволяет проводить аудит событий, созданных при закрытии сеанса. This subcategory allows you to audit events generated by the closing of a logon session. Эти события происходят на компьютере, к нему был доступ. These events occur on the computer that was accessed. Для интерактивного входа создается событие аудита безопасности на компьютере, на который вошел учетная запись пользователя. For an interactive logoff, the security audit event is generated on the computer that the user account logged on to.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа аудита, а не событий logoff. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраии аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа аудита, а не событий logoff. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Workstation Workstation | Нет No | Нет No | Да Yes | Нет No | Эта подкатегория обычно генерирует огромное количество»4634(S): учетная запись была отключена». This subcategory typically generates huge amount of “4634(S): An account was logged off.” события, которые обычно имеют мало релевантности для системы безопасности. events, which typically have little security relevance. Более важно проверять события входа в систему с помощью подкатегории входа в систему аудита, а не событий входа в систему. It’s more important to audit Logon events using Audit Logon subcategory, rather than Logoff events. Включите аудит успешности, если вы хотите отслеживать, например, время активности сеанса (в связи с событиями входа в систему аудита) и когда пользователь выошел из сети. Enable Success audit if you want to track, for example, for how long a session was active (in correlation with Audit Logon events) and when a user logged off. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
Список событий: Events List:
4634(S): учетная запись была отключена. 4634(S): An account was logged off.
4647(S): пользователь инициировал вход. 4647(S): User initiated logoff.
Аудит других событий изменения политики Audit Other Policy Change Events
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Audit Other Policy Change Events contains events about EFS Data Recovery Agent changes, changes in Windows Filtering Platform filter, status on Security policy settings updates for local Group Policy settings, Central Access Policy changes, and detailed troubleshooting events for Cryptographic Next Generation (CNG) operations. Audit Other Policy Change Events contains events about EFS Data Recovery Agent policy changes, changes in Windows Filtering Platform filter, status on Security policy settings updates for local Group Policy settings, Central Access Policy changes, and detailed troubleshooting events for Cryptographic Next Generation (CNG) operations.
Объем события: низкий. Event volume: Low.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | IF IF | Да Yes | IF IF | Да Yes | IF — Мы не рекомендуем аудит успешности из-за события «5447: фильтр платформы фильтрации Windows был изменен». Это событие создается много раз во время обновления групповой политики и обычно используется для устранения неполадок для фильтров платформы фильтрации Windows. IF — We do not recommend Success auditing because of event “5447: A Windows Filtering Platform filter has been changed”—this event generates many times during group policy updates and typically is used for troubleshooting purposes for Windows Filtering Platform filters. Но вам все равно потребуется включить аудит успешности для этой подкатегории, если, например, необходимо отслеживать изменения в данных конфигурации загрузки или политиках центрального доступа. But you would still need to enable Success auditing for this subcategory if, for example, you must monitor changes in Boot Configuration Data or Central Access Policies. Мы рекомендуем выполнять аудит сбоев, чтобы обнаруживать ошибки в примененных параметрах безопасности, которые поступили из групповой политики, и события сбоев, связанные с функциями криптографического следующего поколения (CNG). We recommend Failure auditing, to detect errors in applied Security settings which came from Group Policy, and failure events related to Cryptographic Next Generation (CNG) functions. |
| Сервер-член Member Server | IF IF | Да Yes | IF IF | Да Yes | IF — Мы не рекомендуем аудит успешности из-за события «5447: фильтр платформы фильтрации Windows был изменен». Это событие создается много раз во время обновления групповой политики и обычно используется для устранения неполадок для фильтров платформы фильтрации Windows. IF — We do not recommend Success auditing because of event “5447: A Windows Filtering Platform filter has been changed”—this event generates many times during group policy updates and typically is used for troubleshooting purposes for Windows Filtering Platform filters. Но вам все равно потребуется включить аудит успешности для этой подкатегории, если, например, необходимо отслеживать изменения в данных конфигурации загрузки или политиках центрального доступа. But you would still need to enable Success auditing for this subcategory if, for example, you must monitor changes in Boot Configuration Data or Central Access Policies. Мы рекомендуем выполнять аудит сбоев, чтобы обнаруживать ошибки в примененных параметрах безопасности, которые поступили из групповой политики, и события сбоев, связанные с функциями криптографического следующего поколения (CNG). We recommend Failure auditing, to detect errors in applied Security settings which came from Group Policy, and failure events related to Cryptographic Next Generation (CNG) functions. |
| Workstation Workstation | IF IF | Да Yes | IF IF | Да Yes | IF — Мы не рекомендуем аудит успешности из-за события «5447: фильтр платформы фильтрации Windows был изменен». Это событие создается много раз во время обновления групповой политики и обычно используется для устранения неполадок для фильтров платформы фильтрации Windows. IF — We do not recommend Success auditing because of event “5447: A Windows Filtering Platform filter has been changed”—this event generates many times during group policy updates and typically is used for troubleshooting purposes for Windows Filtering Platform filters. Но вам все равно потребуется включить аудит успешности для этой подкатегории, если, например, необходимо отслеживать изменения в данных конфигурации загрузки или политиках центрального доступа. But you would still need to enable Success auditing for this subcategory if, for example, you must monitor changes in Boot Configuration Data or Central Access Policies. Мы рекомендуем выполнять аудит сбоев, чтобы обнаруживать ошибки в примененных параметрах безопасности, которые поступили из групповой политики, и события сбоев, связанные с функциями криптографического следующего поколения (CNG). We recommend Failure auditing, to detect errors in applied Security settings which came from Group Policy, and failure events related to Cryptographic Next Generation (CNG) functions. |
Список событий: Events List:
4714(S): политика восстановления зашифрованных данных изменена. 4714(S): Encrypted data recovery policy was changed.
4819(S): политики центрального доступа на компьютере были изменены. 4819(S): Central Access Policies on the machine have been changed.
4826(S): загружены данные конфигурации загрузки. 4826(S): Boot Configuration Data loaded.
4909(-): Параметры локальной политики для TBS были изменены. 4909(-): The local policy settings for the TBS were changed.
4910(-): Параметры групповой политики для TBS были изменены. 4910(-): The group policy settings for the TBS were changed.
5063(S, F): предпринята попытка сделать операцию поставщика шифрования. 5063(S, F): A cryptographic provider operation was attempted.
5064(S, F): предпринята попытка криптографической операции контекста. 5064(S, F): A cryptographic context operation was attempted.
5065(S, F): предпринята попытка изменить контекст шифрования. 5065(S, F): A cryptographic context modification was attempted.
5066(S, F): предпринята попытка сделать операцию функции шифрования. 5066(S, F): A cryptographic function operation was attempted.
5067(S, F): предпринята попытка изменить функцию шифрования. 5067(S, F): A cryptographic function modification was attempted.
5068(S, F): предпринята попытка создать службу поставщика функций шифрования. 5068(S, F): A cryptographic function provider operation was attempted.
5069(S, F): предпринята попытка сделать операцию свойства функции шифрования. 5069(S, F): A cryptographic function property operation was attempted.
5070(S, F): предпринята попытка изменить свойство функции шифрования. 5070(S, F): A cryptographic function property modification was attempted.
5447(S): фильтр платформы фильтрации Windows изменен. 5447(S): A Windows Filtering Platform filter has been changed.
6144(S): политика безопасности в объектах групповой политики успешно применена. 6144(S): Security policy in the group policy objects has been applied successfully.
6145(F): при обработке политики безопасности в объектах групповой политики произошла одна или несколько ошибок. 6145(F): One or more errors occurred while processing security policy in the group policy objects.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
