DHCP 2016 和 1709+ 稽核記錄監視 - Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor) (CHT)

Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor)

此監視會檢查是否已設定記錄檔稽核

Knowledge Base article:

摘要

動態主機設定通訊協定第 6 版 (DHCPv6) 執行階段包含 DHCPv6 伺服器的一般作業功能。舉例來說，這些功能包含租用發行和 Rogue 偵測。

動態主機設定通訊協定第 6 版 (DHCPv6) 伺服器包含數項記錄功能和伺服器參數，以提供增強的稽核功能。建議您進行記錄設定以免記錄填滿，或提供伺服器參數來寫入記錄中。您可以設定下列內容，以確保 DHCP 伺服器記錄狀況良好:

稽核記錄檔路徑
大小上限
磁碟檢查間隔
大小下限需求

原因

因為稽核記錄已滿或無法存取，所以 DHCPv6 已判定無法寫入稽核記錄。DHCP 伺服器將會繼續正常運作，但在記錄可寫入之前，將不會記錄稽核事件。

解決方式

解決方法:移除舊的稽核記錄檔，或提高稽核記錄大小上限

如果磁碟已滿或到達記錄大小上限，DHCP 伺服器會關閉目前檔案並忽略記錄稽核事件的後續要求，直到過了午夜，或到磁碟的狀態獲得改善且不再是已滿。如果磁碟已滿，您可以增加更多實體磁碟空間、提高稽核記錄大小上限，或從下列預設記錄目錄中刪除舊的記錄檔:%windir%\System32\Dhcp。

若要執行這些程序，您必須是 Administrators 群組成員，或已受委派適當的權限。

若要提高稽核記錄大小上限:

注意:不當編輯登錄可能會對系統造成嚴重損害。變更登錄之前，應先備份重要的資料。

按一下 [開始]，在 [開始搜尋] 中鍵入 regedit，再按一下 [繼續]，然後按 ENTER 鍵。
在登錄樹狀目錄中，瀏覽至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters，然後按 ENTER。
按兩下 DhcpLogFilesMaxSize，選取 [十進位]，然後鍵入大於 [數值資料] 中現有數值的數字。

其他

檢查器:伺服器正在記錄 DHCP 事件

若要確認 DHCP 稽核記錄是否正常運作:

在 DHCP 伺服器電腦上，按一下 [開始]，在 [開始搜尋] 中鍵入「Windows 檔案總管」，然後按 ENTER 鍵。
在 Windows 檔案總管樹狀目錄中，巡覽至 %windir%\System32\Dhcp。
檢視並記錄最近的 DHCP 記錄檔日期戳記。這應該是最近的日期。定期重複此程序，並注意是否記錄新事件。

Element properties:

Target

Microsoft.Windows.DHCPServer.10.0.IPv6Runtime

Parent Monitor

System.Health.SecurityState

Category

StateCollection

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogManualReset2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

DHCP 2016 和 1709+ 稽核記錄警示

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true"> <Category>StateCollection</Category> <AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID"> <AlertOnState>Warning</AlertOnState> <AutoResolve>true</AutoResolve> <AlertPriority>Normal</AlertPriority> <AlertSeverity>MatchMonitorHealth</AlertSeverity> <AlertParameters> <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1> </AlertParameters> </AlertSettings> <OperationalStates> <OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">10011</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-DHCP-Server</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </Configuration> </UnitMonitor>