- Directory Service Access - доступ до служби каталогів;
- Directory Service Changes - зміни служби каталогів;
- Directory Service Replication - реплікація служби каталогів;
- Detailed Directory Service Replication - детальна реплікація служби каталогів.
PS> Get-Help * -Eventlog
При знанні PowerShell можна відбирати дійсно важливі події.
У Windows Server можливості аудиту були розширені. Поява динамічного контролю доступу (Dynamic Access Control) дав можливість задавати expression-based політики аудиту на основі виразів і властивостей об'єкта, дозволяючи отримати більш точну інформацію про всі спроби доступу до важливих документів. Наприклад, можна налаштувати політику аудиту всіх користувачів, які не мають необхідний доступ, але намагалися прочитати документ. Активується така політика безпосередньо у властивостях файлу або папки або за допомогою аудиту доступу до глобальних об'єктів (Global Object Access Auditing). Налаштовані політики генерують події при кожному зверненні користувача до файлів (з номерами 4656, 4663) містять атрибути файлів, які можна відбирати за допомогою фільтрів.
Але, напевно одним з найважливіших нововведень з'явилася можливість відслідковувати спроби звернення до знімних пристроїв. Система генерує події з двома ID: успішне (4663) і невдалі спроби (4656).
> Auditpol / list / subcategory: *
Активуємо аудит знімних носіїв:
> Auditpol / set / subcategory: "Знімні носії" / success: enable / failure: enable
Ось власне і все можливості. Система аудиту Windows дозволяє зібрати достатньо багато інформації, її головний недолік полягає в тому, що потрібно знати що шукати. Події з одним номером можуть означати зміни самих різних об'єктів, одну дію користувача може генерувати десяток подій і пропустити щось справді важливе дуже легко. Все це вимагає знань і досліджень.
Інформація зібрана системою аудиту, використовується при розслідуваннях, а тому багато стандартів безпеки (HIPAA, SOX, PCI і інші) вимагають щоб журнали зберігалися тривалий час (до 7 років). Розміри журналів Windows за замовчуванням обмежені 128 Мб і при великій кількості подій він буде швидко перезаписан. Уникнути цього можна встановивши у властивостях журналу в Event Viewer більший розмір і активацією параметра "Архивировать журнал при заповненні. Чи не перезаписувати події ". Але про архівації та пошуку інформації в цьому масиві (якщо така необхідність виникне) адміністратору доведеться подбати самому. Вбудований аудит доступу до файлів створює велику додаткове навантаження на сервер. Тобто аудит в Win є, але він незручний.
Ці та багато інших проблем вирішують за допомогою сторонніх додатків, які забезпечують консолідацію логів з різних джерел, кращий аудит змін, менший обсяг даних.