Tag: event

  • วิธีการเปิด Audit Log ของ Windows 2012 เพื่อให้บันทึกการเปลี่ยนแปลงเกี่ยวกับ Account Management ต่างๆ

    บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร  เมื่อไหร่

    1. ไปที่ Start Menu ค้นหา Group Policy Management
      2559-06-03 10_02_40-Program Manager
    2. เลือก
      Computer Configuration
      Policies
      Windows Settings
      Security Settings
      Local Policies
      Audit Policy
      จากนั้น Double Click “Audit account management”
      2559-06-03 10_03_26-Start
    3. คลิกที่
      Define these policy settings
      และเลือก Success
      แล้วคลิกปุ่ม OK
      2559-06-03 10_11_13-Start
    4. จะได้ผลดังนี้
      2559-06-03 10_13_01-windows2012 [Running] - Oracle VM VirtualBox
    5. เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ
      2559-06-03 10_13_54-Program Manager
    6. จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่
      2559-06-03 10_15_23-windows2012 [Running] - Oracle VM VirtualBox
    7. และแก้ไข Attribute ใด เป็นอะไร
      2559-06-03 10_17_13-Start

    หวังว่าจะเป็นประโยชน์ครับ

    Reference:

    1. https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
    2. https://support.microsoft.com/en-us/kb/977519