특정 서비스에서 실제로 서비스를 다시 시작한 AD 사용자를 감사하려고 합니다.
서비스(MyService)는 서비스 계정을 사용하여 다양한 리소스를 실행하고 액세스합니다.
내 사용자 또는 실제 인간 사용자가 수동으로 서비스를 시작/중지/다시 시작할 때 감사하고 EventViewer의 "이벤트"에서 해당 정보를 가져와 나중에 경고 또는 필터링된 보기를 설정하여 누가 언제 수정했는지 확인할 수 있기를 원합니다. 서비스 실행 상태.
나는 매우 자세해 보이는 다음 지침을 발견했습니다.
https://support.qlik.com/articles/000058520
서버(Windows Server 2019) 자체에서(예: GPO를 통하지 않음):
MMC > 보안 템플릿 > C:\Users$USER\Documents\Security\Templates
1.1 "새 템플릿" > "MyServiceSecurityTemplate"
1.2 "MyServiceSecurityTemplate" > "시스템 서비스" > "MyService" > "속성"
1.3
"다음에서 이 정책 설정을 정의합니다. 템플릿" =
"서비스 시작 모드 선택: 자동"을 선택했습니다
. ^ 즉, 서비스는 항상 서버에서 시작되어야 하므로 서비스 시작 방법만 제어하거나 기록하는 서비스 시작 이벤트와 관련이 있습니까?
즉, 서비스가 자동으로 시작될 때만 기록되고 수동으로 중지/시작/다시 시작될 때는 기록되지 않습니까?
1.4 "보안 편집" > "고급" > "감사" > "추가" >
"주체: "
"유형: 성공"
"기본 권한: 시작, 중지 및 일시 중지"
"확인" > "적용" > "확인"> " 적용"> "확인" > "확인" > 프롬프트:
"보안 정책을 변경하려고 합니다. 계속하시겠습니까?" >
"예" > "적용" > "확인"로컬 그룹 정책 편집기 > 컴퓨터 구성 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 - 로컬 그룹 정책 개체 > 개체 액세스:
"감사 핸들 조작" 및 "다른 개체 액세스 이벤트 감사" > "속성"
"구성 감사하도록 선택한 이벤트:
모든 성공 감사" > "적용" > "확인"EventViewer > Windows 로그 > 보안:
EventID 4656에 대한 필터
해당 필터에 대한 이벤트를 찾을 수 없습니다....
왜 그런 겁니까?