Ce moniteur vérifie si l’audit de journal est configuré
Le runtime DHCPv6 (Dynamic Host Configuration Protocol version 6) inclut les fonctions normales du serveur DHCPv6. Ces fonctions sont, par exemple, l’émission des baux et la détection des serveurs non autorisés.
Les serveurs DHCPv6 (Dynamic Host Configuration Protocol version 6) incluent plusieurs fonctionnalités de journalisation et paramètres de serveur permettant d’améliorer l’audit. Vous devez peut-être configurer les paramètres de journal pour éviter le remplissage du journal ou pour autoriser le serveur à écrire dans le journal. Configurez les propriétés suivantes pour assurer l’intégrité des journaux de votre serveur DHCP :
Chemin du fichier journal d’audit
Restriction de taille maximale
Intervalle de vérification du disque
Taille minimale
DHCPv6 a déterminé que le journal d’audit ne peut pas être modifié, car il est saturé ou inaccessible. Le serveur DHCP continue de fonctionner normalement, mais les événements d’audit ne sont pas enregistrés tant que le journal n’est pas accessible en écriture.
Résolution : Supprimer les anciens fichiers journaux d’audit ou augmenter la taille maximale du journal d’audit
Si le disque est saturé ou que la taille maximale de journal est atteinte, le serveur DHCP ferme le fichier actuel et ignore les futures demandes de journalisation des événements d’audit jusqu’à minuit, ou jusqu’à ce que l’état du disque soit amélioré et que le disque ne soit plus saturé. Si le disque est saturé, vous pouvez ajouter de l'espace disque, augmenter la taille maximale du journal d'audit ou supprimer d'anciens fichiers journaux du répertoire de journal par défaut : %windir%\System32\Dhcp.
Pour effectuer ces procédures, vous devez être membre du groupe Administrateurs ou l’autorité appropriée doit vous avoir été déléguée.
Pour augmenter la taille maximale du journal d’audit :
Attention : Toute modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d’apporter des modifications au Registre, sauvegardez toutes les données importantes.
Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, cliquez sur Continuer et appuyez sur Entrée.
Dans l'arborescence du Registre, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters, puis appuyez sur ENTRÉE.
Double-cliquez sur DhcpLogFilesMaxSize, sélectionnez Décimale, puis tapez un nombre supérieur au nombre actuel dans la zone Données de la valeur.
Vérificateur : Le serveur journalise des événements DHCP
Pour vérifier que le journal d’audit DHCP fonctionne correctement :
Sur l’ordinateur qui héberge le serveur DHCP, cliquez sur Démarrer, tapez Explorateur Windows dans Rechercher et appuyez sur Entrée.
Dans l’Explorateur Windows, accédez à %windir%\System32\Dhcp.
Affichez et enregistrez les derniers horodatages du fichier journal DHCP. Ils doivent être récents. Répétez ce processus à intervalles réguliers et notez si de nouveaux événements sont enregistrés.
Target | Microsoft.Windows.DHCPServer.10.0.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>