วิธีการเปิด Audit Log ของ Windows 2012 เพื่อให้บันทึกการเปลี่ยนแปลงเกี่ยวกับ Account Management ต่างๆ

บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร  เมื่อไหร่

1. ไปที่ Start Menu ค้นหา Group Policy Management
   
2. เลือก
   Computer Configuration
   Policies
   Windows Settings
   Security Settings
   Local Policies
   Audit Policy
   จากนั้น Double Click “Audit account management”
   
3. คลิกที่
   Define these policy settings
   และเลือก Success
   แล้วคลิกปุ่ม OK
   
4. จะได้ผลดังนี้
   
5. เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ
   
6. จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่
   
7. และแก้ไข Attribute ใด เป็นอะไร
   

หวังว่าจะเป็นประโยชน์ครับ

Reference:

1. https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
2. https://support.microsoft.com/en-us/kb/977519