Настроил сбор журналов безопасности с КД
Сделал политику аудита
и указал сервер для сбора событий журналов безопасности
Политики привязал к контейнеру "Контроллеры домена"
На целевом сервере настроил подписку, мануалов много в сети, даже скриншот делать не буду.
Казалось бы, вот и должны политься события! Ан нет.
Для чтения журналов безопасности учетная запись NETWORK SERVICE должна быть добавлена в группу "Event Log Readers".
А поскольку читаем с КД (а у него локальных учетных записей нет), добавлять учетную запись нужно в Builtin\Event Log Readers домена.
Сделать это вполне возможно.
До кучи добавил туда учетные записи компьютеров-источников.
Работает.
и указал сервер для сбора событий журналов безопасности
Политики привязал к контейнеру "Контроллеры домена"
На целевом сервере настроил подписку, мануалов много в сети, даже скриншот делать не буду.
Казалось бы, вот и должны политься события! Ан нет.
Для чтения журналов безопасности учетная запись NETWORK SERVICE должна быть добавлена в группу "Event Log Readers".
А поскольку читаем с КД (а у него локальных учетных записей нет), добавлять учетную запись нужно в Builtin\Event Log Readers домена.
Сделать это вполне возможно.
До кучи добавил туда учетные записи компьютеров-источников.
Работает.