Планируя политику аудита, вы должны определить, на каких компьютерах будете устанавливать аудит. По умолчанию аудит отключен. По мере выбора компьютеров для аудита вы можете также запланировать, какие именно события отслеживать на каждом из них. Windows 2000 записывает отслеживаемые события отдельно на каждом компьютере.
Вы можете отслеживать следующие типы событий:
- доступ к файлам и папкам;
- вход и выход из системы:
- выключение и перезагрузку компьютера;
- изменение учетных записей пользователей и групп;
- попытки изменять объекты в Active Directory (только в том случае, если компьютер с Windows 2000 входит в домен).
После того, как вы выбрали типы событий, которые хотите отслеживать, следует определить, нужно ли отслеживать успех или неудачу событий, или и то, и другое. Отслеживание успешных событий может показать, как часто Windows 2000 или пользователи получают доступ к определенным файлам, принтерам или другим объектам. Вы можете использовать эту информацию для планирования ресурсов.
Отслеживание неудачных событий может предупредить о возможных нарушениях безопасности. Например, если вы отмечаете сразу несколько неудачных попыток входа в систему под определенной учетной записью пользователя, особенно если JTO происходит в нерабочее время, то можете сделать вывод, что в систему пытается проникнуть злоумышленник.