Wednesday, June 18, 2008

การออดิตเหตุการณ์ใน Windows XP

การออดิตเหตุการณ์ใน Windows XP
การออดิตนั้น จะเป็นการบันทึกเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ ซึ่งใน Windows XP นั้น จะมีหัวข้อค่าให้ทำการออดิตจำนวน 9 หัวข้อด้วยกัน ดังนี้
1. Audit account logon event
2. Audit account management
3. Audit Directory service access
4. Audit Logon event
5. Audit object access
6. Audit policy change
7. Audit priviledge use
8. Audit process traching
9. Audit system event

โดยดีฟอลท์ Windows XP นั้น จะไม่ทำการออดิตเหตุการณ์ต่างๆ สำหรับการเปิดใช้งานการออดิตนั้น จะต้องกระทำผ่านทางโปรแกรม Group Policy Editor ตามวิธีการดังนี้
ข้อควรทราบ: การคอนฟิกเพื่อเปิดใช้การออดิตนั้น ต้องทำการล็อกออนด้วยยูสเซอร์ในกลุ่ม Administrator

1. คลิก Start คลิก Rum แล้วพิมพ์ gpedit.msc ในช่อง Open เสร็จแล้วกด Enter
2. ในแพนด้านซ้ายของหน้าต่างโปรแกรม Group Policy ให้ขยาย Computer Configuration ขยายโฟลเดอร์ Windows Settings ขยายโฟลเดอร์ Security Settings ขยายโฟลเดอร์ Local Policies แล้วคลิกเลือกโฟลเดอร์ Audit Policy


รูปที่ 1. Audit Policy

3. ในแพนด้านขวาของหน้าต่างโปรแกรม Group Policy ให้ดับเบิลหัวข้อที่ต้องการออดิต จากนั้นเลือกการออดิตว่าจะออดิตเมื่อ Success, Fail หรือ ทั้งสองอย่าง เสร็จแล้วคลิก OK


รูปที่ 2. Audit these attemp

4. ให้ดำเนินการตามข้อที่ 3 จนครบทุกหัวข้อที่ต้องการออดิต


รูปที่ 3. Security Setting

5. เสร็จแล้วปิดโปรแกรม Group Policy Editor

การดูผลการออดิต
การดูผลการออดิตนั้น จะใช้เครื่องมือชื่อ Event Viewer ซึ่งอยู่ในชุดเครื่องมือ Administrative Tools ตามขั้นตอนดังนี้

1. คลิก Start คลิก Control Panel คลิก Administrative Tools แล้วคลิก Event Viewer
2. ในหน้าต่าง Event Viewer (Local) คลิกหัวข้อ Security จากนั้น ซึ่งจะแสดงรายละเอียดของเหตการณ์ต่างๆ ที่เกิดขึ้น


รูปที่ 4 Event Viewer

3. จากนั้นในแพนด้านขวามือให้ดับเบิลคลิกที่บรรทัดเหตการณ์ เพื่อดูรายละเอียด


รูปที่ 5 Event Properties

การคอนฟิก Event Properties
เนื่องจากการออดิตนั้นจะทำให้การบันทึกเหตการณ์ต่างๆ ในล็อกไฟล์มากขึ้น ซึ่งค่าคอนฟิกเริ่มต้นล็อกไฟล์นั้นไม่เพียงพอสำหรับใช้จัดเก็บข้อมูล ดังนั้นจะต้องทำการคอนฟิกการคอนฟิก Event Properties ใหม่ ดังนี้

1. ในหน้าต่าง Event Viewer (Local) คลิกหัวข้อ Security จากนั้นคลิก Properties


รูปที่ 6 Event Viewer Properties

2. ในหน้าไดอะล็อกบ็อกซ์ Security Properties ให้ตั้งค่าต่างๆ ตามความเหมาะสม โดยขนาดของล็อกไฟล์ (Log size) นั้นจะต้องเป็นจำนวนเท่าของ 64K และควรกำหนดให้มีขนาดใหญ่พอสมควร และในส่วนของ When maximum log size reached แนะนำให้เลือกเป็น Overwrite events older than x Days เมื่อ x คือ จำนวนวันกำหนดสูงสุดได้ 365 วัน


รูปที่ 7 Security Properties

3. คลิกแท็บ Filter จากนั้นให้เลือกตั้งค่าต่างๆ ตามความเหมาะสม (แนะนำให้ใช้ค่าดีฟอลท์)


รูปที่ 8 Filter Properties

ลิงค์ที่เกี่ยวข้อง
บทความเกี่ยวกับ Windows XP

© 2008 Thai Windows Administrator, All Rights Reserved.

0 Comment: