La fonction d'audit sert à suivre les activités des utilisateurs ainsi que les événements au niveau du système sur le réseau.
L'information écrite indique :
- l'action réalisée
- l'utilisateur ayant réalisé cette action
- la date et l'heure de l'action
Il faut définir une stratégie d'audit pour suivre par exemple les succès et échecs des événements, tels l'ouverture de session, la tentative de lecture d'un fichier spécifique par un utilisateur, les modifications apportées aux utilisateurs et groupes....
Note : les audits sont consommateur de ressources, il faut mieux en limiter le nombre.
L'observateur d'événements vous permet de visualiser 3 journaux différents :
Journal Système
Enregistre les événements concernant les composants système tels que les pilotes, les imprimantes, le matériel, etc...
Journal Sécurité
Evénements qui sont des atteintes possibles à la sécurité tels que des essais infructueux de connexion.
Journal Application
Evénements concernant les applications telles que les erreurs de fichiers, etc...
Note
On peut aussi lire les événements sur un autre ordinateur du réseau dans le menu 'Journal' puis 'Choisir un ordinateur...' de l'Observateur d'événements (avec droits administrateurs).
Activation de l'audit sur le domaine et sélection des événements à auditer.
Application de l'audit aux fichiers, répertoires, imprimantes...
Note : On ne peut auditer des fichiers et des répertoires que s'ils se sont en NTFS.
La 1ere étape pour mettre en œuvre une stratégie d'audit est d'activer l'audit et de
sélectionner les événements à auditer.
(Dans 'Gest. des utilisateurs pour le domaine' puis 'Stratégies' et 'Audit')
Dans l'explorateur, sur un fichier ou un dossier, cliquez droit puis 'Propriétés'.
Remplacer l'audit des sous répertoires
Appliquer également les modifications d'audit aux fichiers se trouvant dans les sous-répertoires.
Remplacer l'audit sur les fichiers existants
Appliquer les modifications d'audit au répertoire seulement.
Cliquer sur 'Ajouter' pour choisir des utilisateurs ou des groupes à auditer.
Pour consulter, dans les Outils d'Administration Commun, lancer 'Observateur d'événements'.