此监视器检查是否正在配置日志审核
动态主机配置协议版本 6 (DHCPv6) 运行时包括 DHCPv6 服务器的正常运行功能。这些功能的示例包括租约发布和未授权检测。
动态主机配置协议版本 6 (DHCPv6) 服务器包括多个日志记录功能和提供增强型审核功能的服务器参数。可能需要配置日志设置,以防止日志填满或授予写入日志的服务器权限。可以配置以下属性来保持 DHCP 服务器日志正常:
审核日志文件路径
最大大小限制
检查磁盘的间隔
最小大小要求
DHCPv6 已确定无法写入审核日志,因为已填满或无法访问。DHCP 服务器将继续正常运作,但在可写入日志之后,才会记录审核事件。
解决方法:删除旧审核日志文件或增加最大审核日志大小
如果磁盘已满或已达到最大日志大小,则 DHCP 服务器会关闭当前文件并忽略对日志审核事件的后续请求,直到午夜或磁盘状态得到改进并且不再处于已满状态为止。如果磁盘已满,则你可以增加更多物理磁盘空间,增大最大审核日志大小,或从以下默认日志目录中删除旧的日志文件:%windir%\System32\Dhcp。
若要执行这些过程,你必须是 Administrators 组的成员,或者你必须已被委派适当的权限。
增大最大审核日志大小:
警告:注册表编辑不当可能导致严重损坏你的系统。在对注册表进行更改之前,应备份任何重要数据。
单击“开始”,并在“开始搜索”中键入 regedit,单击“继续”,然后按 Enter。
在注册表树中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters,然后按 Enter。
双击“DhcpLogFilesMaxSize”,选择“十进制”,然后在“数值数据”中键入一个大于当前数字的数字。
验证程序:服务器正在记录 DHCP 事件
验证 DHCP 审核日志是否正在正常运行:
在 DHCP 服务器计算机上,单击“开始”,在“开始搜索”中键入“Windows 资源管理器”,然后按 ENTER。
将 Windows 资源管理器树导航到 %windir%\System32\Dhcp。
查看并记录最新的 DHCP 日志文件日期戳。它们应是最新的。定期重复此过程并注意是否正在记录新事件。
Target | Microsoft.Windows.DHCPServer.10.0.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>