การออดิตเหตุการณ์ใน Windows XP ~ Windows Administrator Blog

Wednesday, June 18, 2008

การออดิตเหตุการณ์ใน Windows XP

By dtp 8:45:00 AM No comments

การออดิตเหตุการณ์ใน Windows XP
การออดิตนั้น จะเป็นการบันทึกเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ ซึ่งใน Windows XP นั้น จะมีหัวข้อค่าให้ทำการออดิตจำนวน 9 หัวข้อด้วยกัน ดังนี้
1. Audit account logon event
2. Audit account management
3. Audit Directory service access
4. Audit Logon event
5. Audit object access
6. Audit policy change
7. Audit priviledge use
8. Audit process traching
9. Audit system event

โดยดีฟอลท์ Windows XP นั้น จะไม่ทำการออดิตเหตุการณ์ต่างๆ สำหรับการเปิดใช้งานการออดิตนั้น จะต้องกระทำผ่านทางโปรแกรม Group Policy Editor ตามวิธีการดังนี้
ข้อควรทราบ: การคอนฟิกเพื่อเปิดใช้การออดิตนั้น ต้องทำการล็อกออนด้วยยูสเซอร์ในกลุ่ม Administrator

1. คลิก Start คลิก Rum แล้วพิมพ์ gpedit.msc ในช่อง Open เสร็จแล้วกด Enter
2. ในแพนด้านซ้ายของหน้าต่างโปรแกรม Group Policy ให้ขยาย Computer Configuration ขยายโฟลเดอร์ Windows Settings ขยายโฟลเดอร์ Security Settings ขยายโฟลเดอร์ Local Policies แล้วคลิกเลือกโฟลเดอร์ Audit Policy

รูปที่ 1. Audit Policy

3. ในแพนด้านขวาของหน้าต่างโปรแกรม Group Policy ให้ดับเบิลหัวข้อที่ต้องการออดิต จากนั้นเลือกการออดิตว่าจะออดิตเมื่อ Success, Fail หรือ ทั้งสองอย่าง เสร็จแล้วคลิก OK

รูปที่ 2. Audit these attemp

4. ให้ดำเนินการตามข้อที่ 3 จนครบทุกหัวข้อที่ต้องการออดิต

รูปที่ 3. Security Setting

5. เสร็จแล้วปิดโปรแกรม Group Policy Editor

การดูผลการออดิต
การดูผลการออดิตนั้น จะใช้เครื่องมือชื่อ Event Viewer ซึ่งอยู่ในชุดเครื่องมือ Administrative Tools ตามขั้นตอนดังนี้

1. คลิก Start คลิก Control Panel คลิก Administrative Tools แล้วคลิก Event Viewer
2. ในหน้าต่าง Event Viewer (Local) คลิกหัวข้อ Security จากนั้น ซึ่งจะแสดงรายละเอียดของเหตการณ์ต่างๆ ที่เกิดขึ้น

รูปที่ 4 Event Viewer

3. จากนั้นในแพนด้านขวามือให้ดับเบิลคลิกที่บรรทัดเหตการณ์ เพื่อดูรายละเอียด

รูปที่ 5 Event Properties

การคอนฟิก Event Properties
เนื่องจากการออดิตนั้นจะทำให้การบันทึกเหตการณ์ต่างๆ ในล็อกไฟล์มากขึ้น ซึ่งค่าคอนฟิกเริ่มต้นล็อกไฟล์นั้นไม่เพียงพอสำหรับใช้จัดเก็บข้อมูล ดังนั้นจะต้องทำการคอนฟิกการคอนฟิก Event Properties ใหม่ ดังนี้

1. ในหน้าต่าง Event Viewer (Local) คลิกหัวข้อ Security จากนั้นคลิก Properties

รูปที่ 6 Event Viewer Properties

2. ในหน้าไดอะล็อกบ็อกซ์ Security Properties ให้ตั้งค่าต่างๆ ตามความเหมาะสม โดยขนาดของล็อกไฟล์ (Log size) นั้นจะต้องเป็นจำนวนเท่าของ 64K และควรกำหนดให้มีขนาดใหญ่พอสมควร และในส่วนของ When maximum log size reached แนะนำให้เลือกเป็น Overwrite events older than x Days เมื่อ x คือ จำนวนวันกำหนดสูงสุดได้ 365 วัน

รูปที่ 7 Security Properties

3. คลิกแท็บ Filter จากนั้นให้เลือกตั้งค่าต่างๆ ตามความเหมาะสม (แนะนำให้ใช้ค่าดีฟอลท์)

End of Support for Windows XP SP2 and Windows Vista RTMไมโครซอฟท์กำลังจะหยุดซัพพอร์ต Windows XP SP2 และ Windows Vista RTM ไมโครซอฟท์ได้แจ้งเตือนผู้ที่กำลังใช้ระบบปฏิบัติการ Windows XP SP2, Windows Vista RTM รวมถึง Windows 2000 ให้เตรียมแผนการอัพเดท อัพเกรด หรือไมเกรตระบบ เนื่องจา… Read More
วิธีแก้ไขปัญหาติดตั้ง Windows Live Messenger ไม่ได้สำหรับผู้ใช้ Windows Live Messenger เวอร์ชัน Beta อาจจะประสบกับปัญหาไม่สามารถอัปเดทเป็นเวอร์ชัน Final ได้ถึงแม้ว่าจะทำการยกเลิกการติดตั้งเวอร์ชัน Beta ก่อนทำการอัปเดทแล้วก็ตาม โดยจะได้รับข้อความแสดงความผิดพลาดว่า Code: 0x8000… Read More
How to speed up shutdown process in Windows XPวิธีปรับให้ Windows XP ชัทดาวน์เร็วขึ้น บทความนี้เป็นทิปวิธีการเร่งเวลาการชัทดาวน์เครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP โดยการลดค่าเวลาไทม์เอ้าท์ด้วยการแก้ไขค่า WaitToKillServiceTimeout ในรีจีสทรี (Registry) ให้มี… Read More
How to hide the physical drives in Windows Explorerวิธีการซ่อนไดรฟ์ใน Windows Explorer วันนี้มีวิธีการคอนฟิกวินโดวส์ให้ทำการซ่อนไดรฟ์บางตัวใน Windows Explorer เพื่อความปลอดภัยและเพื่อป้องกันการเข้าถึงจากผู้ใช้ที่ไม่มีสิทธิ์มากฝากครับ ข้อควรระวัง 1. การแก้ไขรีจิสตรีที่ผิดพลาด… Read More
What is the SID (Security Identifier)?รู้จักกับ Security Identifier (SID) บนระบบ Windows Last updated: 3 ก.ค. 54 ออบเจ็กต์ต่างๆ ภายในระบบปฏิบัติการ Windows ตระกูล NT นั้นจะมีหมายเลขประจำตัวขนาด 48 บิต ที่ไม่ซ้ำกันภายในเครื่องและระหว่างเครื่องคอมพิวเตอร์ เรียกว่า… Read More