วิธีการเปิด Audit Log ของ Windows 2012 เพื่อให้บันทึกการเปลี่ยนแปลงเกี่ยวกับ Account Management ต่างๆ

บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร  เมื่อไหร่

  1. ไปที่ Start Menu ค้นหา Group Policy Management
    2559-06-03 10_02_40-Program Manager
  2. เลือก
    Computer Configuration
    Policies
    Windows Settings
    Security Settings
    Local Policies
    Audit Policy
    จากนั้น Double Click “Audit account management”
    2559-06-03 10_03_26-Start
  3. คลิกที่
    Define these policy settings
    และเลือก Success
    แล้วคลิกปุ่ม OK
    2559-06-03 10_11_13-Start
  4. จะได้ผลดังนี้
    2559-06-03 10_13_01-windows2012 [Running] - Oracle VM VirtualBox
  5. เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ
    2559-06-03 10_13_54-Program Manager
  6. จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่
    2559-06-03 10_15_23-windows2012 [Running] - Oracle VM VirtualBox
  7. และแก้ไข Attribute ใด เป็นอะไร
    2559-06-03 10_17_13-Start

หวังว่าจะเป็นประโยชน์ครับ

Reference:

  1. https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
  2. https://support.microsoft.com/en-us/kb/977519