上一主题: 将审核事件传递到 Windows 事件日志下一主题: 审核日志

端点管理指南:用于 Windows监视和审核查看审核事件将审核事件传递到 Windows 事件日志通道

将审核事件传递到 Windows 事件日志通道

仅适用于 Windows Server 2008

如果您配置 CA ControlMinder 将审核事件传递到 Windows 事件日志,那么每次当 seosd 将审核事件写入 CA ControlMinder 审核日志时,都会将相应的事件发送给事件日志通道。 CA ControlMinder 事件日志通道命名为 CA-AccessControl-AuthorizationEngine/Audit。

您也能配置 CA ControlMinder 将策略模型审核事件发送到事件日志通道。 策略模型事件日志通道被命名为 CA-AccessControl-Policy Models/Audit。

将事件传递到到事件日志通道

  1. 使用以下命令停止 CA ControlMinder: 
    secons -s

    CA ControlMinder 停止。

  2. 将 logmgr 注册表子键中的 SendAuditToNativeChannel 标记的值设为 1。

    将审核事件发送给 Windows 事件日志通道。

  3. (可选)将 Pmd 注册表子键中的 SendAuditToNativeChannel 标记的值设为 1。

    将策略模型审核事件发送给 Windows 事件日志通道。

  4. 使用以下命令重新启动 CA ControlMinder: 
    seosd -start

    CA ControlMinder 重新启动。

示例:将审核事件传递到事件日志通道

下列示例将审核事件传递到事件日志通道。 您必须是在远程配置环境 (env config) 中才能使用该命令:

er config ACROOT section(logmgr) token(SendAuditToNativeChannel) value(1)

示例:将策略模型审核事件传递到事件日志通道

下列示例将策略模型审核事件传递到事件日志通道。 您必须是在远程配置环境 (env config) 中才能使用该命令:

er config ACROOT section(Pmd) token(SendAuditToNativeChannel) value(1)

更多信息:

更改配置设置