Monitor de registro de auditoría de DHCP 2016 y 1709+ - Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor) (ESN)

Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor)

Este monitor comprueba si el registro de auditoría está configurado.

Knowledge Base article:

Resumen

El tiempo de ejecución del Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluye funciones operativas normales del servidor DHCPv6. Entre los ejemplos de estas funciones se incluyen la emisión de concesiones y la detección no autorizada.

Los servidores del Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluyen varias características de registro y parámetros de servidor que proporcionan funcionalidades de auditoría mejoradas. Es posible que necesite definir la configuración de registro para evitar que el registro se llene o para conceder permisos al servidor para escribir en dicho registro. Puede configurar las siguientes propiedades para mantener los registros del servidor DHCP en buen estado:

La ruta de acceso al archivo de registro de auditoría
Una restricción de tamaño máximo
Un intervalo para comprobación del disco
Un requisito de tamaño mínimo

Causas

DHCPv6 ha determinado que no se puede escribir en el registro de auditoría porque está lleno o no se puede acceder a él. El servidor DHCP continuará funcionando correctamente pero los eventos de auditoría no se grabarán hasta que se pueda escribir en el registro.

Soluciones

Resolución: Quitar los archivos del registro de auditoría antiguos o aumentar el tamaño máximo del registro de auditoría

Si el disco está lleno o se alcanza el tamaño máximo del registro, el servidor DHCP cierra el archivo actual y omite más solicitudes para registrar eventos de auditoría hasta medianoche o hasta que el estado del disco mejore y dicho disco ya no esté lleno. Si el disco está lleno, puede agregar más espacio de disco físico, aumentar el tamaño máximo del registro de auditoría o eliminar archivos de registro antiguos del directorio de registro predeterminado: %windir%\System32\Dhcp.

Para llevar a cabo estos procedimientos, debe ser miembro del grupo Administradores o tener delegada la autoridad adecuada.

Para aumentar el tamaño máximo del registro de auditoría:

Precaución: La edición incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, se recomienda hacer una copia de seguridad de los datos de valor.

Haga clic en Inicio, escriba regedit en Iniciar búsqueda, haga clic en Continuar y luego presione Entrar.
En el árbol del Registro, navegue hasta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters y, a continuación, presione Entrar.
Haga doble clic en DhcpLogFilesMaxSize, seleccione Decimal y luego escriba un número mayor que el número actual en Información del valor.

Adicional

Comprobador: El servidor está registrando eventos de DHCP

Para comprobar que el registro de auditoría de DHCP está funcionando correctamente:

En el equipo del servidor DHCP, haga clic en Inicio, escriba Explorador de Windows en Iniciar búsqueda y luego presione Entrar.
Navegue por el árbol del Explorador de Windows hasta %windir%\System32\Dhcp.
Vea y anote las marcas de fecha del archivo de registro de DHCP más recientes. Deben ser recientes. Repita este proceso con cierta frecuencia y observe si los nuevos eventos se están registrando.

Element properties:

Target

Microsoft.Windows.DHCPServer.10.0.IPv6Runtime

Parent Monitor

System.Health.SecurityState

Category

StateCollection

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogManualReset2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Alerta de registro de auditoría de DHCP 2016 y 1709+

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true"> <Category>StateCollection</Category> <AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID"> <AlertOnState>Warning</AlertOnState> <AutoResolve>true</AutoResolve> <AlertPriority>Normal</AlertPriority> <AlertSeverity>MatchMonitorHealth</AlertSeverity> <AlertParameters> <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1> </AlertParameters> </AlertSettings> <OperationalStates> <OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">10011</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-DHCP-Server</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </Configuration> </UnitMonitor>