Systemereignisse überwachen
Bestimmt, ob überwacht werden soll, wenn ein Benutzer den Computer neu startet oder herunterfährt oder wenn ein Ereignis auftritt, das sich auf die Systemsicherheit oder das Sicherheitsprotokoll auswirkt.
Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht werden, bzw. festlegen, dass der Ereignistyp überhaupt nicht überwacht wird. Bei Erfolgsüberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch erfolgreich ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch nicht erfolgreich ist.
Wenn Sie diesen Wert auf Keine Überwachung festlegen möchten, aktivieren Sie im Dialogfeld Eigenschaften für diese Richtlinieneinstellung das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und deaktivieren Sie die Kontrollkästchen Erfolg und Fehler.
Standardwert:
„Erfolg“ bei Domänencontrollern.
„Keine Überwachung“ auf Mitgliedsservern.
Konfigurieren dieser Überwachungseinstellung
Sie können diese Sicherheitseinstellung konfigurieren, indem Sie die entsprechende Richtlinie unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie“ öffnen.
| Anmeldeereignisse | Beschreibung |
|---|---|
| 512 | Windows wird gestartet. |
| 513 | Windows wird heruntergefahren. |
| 514 | Ein Authentifizierungspaket wurde durch die lokale Sicherheitsautorität (LSA) geladen. |
| 515 | Ein vertrauenswürdiger Anmeldeprozess wurde bei der lokalen Sicherheitsautorität registriert. |
| 516 | Die für Sicherheitsereignismeldungen reservierten internen Ressourcen sind ausgelastet. Dies führt zu einem Verlust von Sicherheitsereignismeldungen. |
| 517 | Das Überwachungsprotokoll wurde gelöscht. |
| 518 | Die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) hat ein Benachrichtigungspaket geladen. |
| 519 | Ein Prozess verwendet einen ungültigen Prozeduraufrufport (Local Procedure Call, LPC) beim Versuch, sich als ein Client auszugeben und eine Antwort an einen Clientadressbereich zu senden oder in einem Clientadressbereich zu lesen oder zu schreiben. |
| 520 | Die Systemzeit wurde geändert.Hinweis Diese Überwachung wird normalerweise zweimal angezeigt.
|
Verwandte Themen
Grundlegende Einstellungen für Sicherheitsüberwachungsrichtlinien