1. Определитесь, нужно ли отслеживать тенденции использования системы. Если да, то планируйте архивировать журналы событий. Это позволит, например, просмотреть, как используются системные ресурсы, и запланировать своевременное их расширение.
2. Чаще просматривайте журналы безопасности. Вы должны составить расписание и регулярно следовать ему.
3. Формируйте эффективную и хорошо управляемую политику аудита. Всегда ведите аудит использования конфиденциальных данных. Одновременно, отслеживайте только те события, которые дадут вам нужную информацию о сети. Это сведет к минимуму использование компьютерных ресурсов и облегчит поиск нужной информации. Тотальный аудит отрицательно отразится на производительности системы.
4. Отслеживайте доступ к ресурсам участников труппы Everyone (Все), а не только Users (Пользователи). Это гарантирует, что вы проверите каждого, кто может подключиться к сети, а не только пользователей, для которых созданы учетные записи в домене.