Este monitor comprueba si el registro de auditoría está configurado.
El tiempo de ejecución del Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluye funciones operativas normales del servidor DHCPv6. Entre los ejemplos de estas funciones se incluyen la emisión de concesiones y la detección no autorizada.
Los servidores del Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluyen varias características de registro y parámetros de servidor que proporcionan funcionalidades de auditoría mejoradas. Es posible que necesite definir la configuración de registro para evitar que el registro se llene o para conceder permisos al servidor para escribir en dicho registro. Puede configurar las siguientes propiedades para mantener los registros del servidor DHCP en buen estado:
La ruta de acceso al archivo de registro de auditoría
Una restricción de tamaño máximo
Un intervalo para comprobación del disco
Un requisito de tamaño mínimo
DHCPv6 ha determinado que no se puede escribir en el registro de auditoría porque está lleno o no se puede acceder a él. El servidor DHCP continuará funcionando correctamente pero los eventos de auditoría no se grabarán hasta que se pueda escribir en el registro.
Resolución: Quitar los archivos del registro de auditoría antiguos o aumentar el tamaño máximo del registro de auditoría
Si el disco está lleno o se alcanza el tamaño máximo del registro, el servidor DHCP cierra el archivo actual y omite más solicitudes para registrar eventos de auditoría hasta medianoche o hasta que el estado del disco mejore y dicho disco ya no esté lleno. Si el disco está lleno, puede agregar más espacio de disco físico, aumentar el tamaño máximo del registro de auditoría o eliminar archivos de registro antiguos del directorio de registro predeterminado: %windir%\System32\Dhcp.
Para llevar a cabo estos procedimientos, debe ser miembro del grupo Administradores o tener delegada la autoridad adecuada.
Para aumentar el tamaño máximo del registro de auditoría:
Precaución: La edición incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, se recomienda hacer una copia de seguridad de los datos de valor.
Haga clic en Inicio, escriba regedit en Iniciar búsqueda, haga clic en Continuar y luego presione Entrar.
En el árbol del Registro, navegue hasta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters y, a continuación, presione Entrar.
Haga doble clic en DhcpLogFilesMaxSize, seleccione Decimal y luego escriba un número mayor que el número actual en Información del valor.
Comprobador: El servidor está registrando eventos de DHCP
Para comprobar que el registro de auditoría de DHCP está funcionando correctamente:
En el equipo del servidor DHCP, haga clic en Inicio, escriba Explorador de Windows en Iniciar búsqueda y luego presione Entrar.
Navegue por el árbol del Explorador de Windows hasta %windir%\System32\Dhcp.
Vea y anote las marcas de fecha del archivo de registro de DHCP más recientes. Deben ser recientes. Repita este proceso con cierta frecuencia y observe si los nuevos eventos se están registrando.
Target | Microsoft.Windows.DHCPServer.10.0.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>