DHCP 2012 稽核記錄監視 - Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor) (CHT)

Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor)

此監視會檢查是否已設定記錄稽核

Knowledge Base article:

摘要

動態主機設定通訊協定第 6 版 (DHCPv6) 執行階段包含 DHCPv6 伺服器的正常作業功能。這些功能的範例包含租用發佈與 Rogue 偵測等。

動態主機設定通訊協定第 6 版 (DHCPv6) 伺服器內含多項記錄功能與伺服器參數，可提供增強的稽核功能。您可能需要設定記錄檔設定，防止填滿記錄檔或是給予伺服器權限來寫入記錄檔。您可以設定下列內容，維持您的 DHCP 伺服器記錄檔正常運作：

稽核記錄檔路徑
大小上限
磁碟檢查間隔
最小大小需求

原因

DHCPv6 判斷無法寫入稽核記錄，因為檔案已滿或是無法存取。DHCP 伺服器將繼續正確運作，不過必須等到記錄檔可以寫入之後，才會繼續記錄稽核事件。

解決方式

解決方式：移除舊的稽核記錄檔或是增加稽核記錄大小上限

如果磁碟已滿或已達到最大記錄檔大小，DHCP 伺服器便會關閉目前的檔案並忽略記錄稽核事件的進一步要求，直到午夜為止，或是直到磁碟狀態改善而且磁碟已騰出空間為止。如果磁碟已滿，您可以新增更多實體磁碟空間、增加最大稽核記錄檔的大小，或是從預設記錄檔目錄刪除舊的記錄檔：%windir%\System32\Dhcp.

若要執行這些程序，您必須是 Administrators 群組成員或是已經委派您適當的權限。

若要增加最大稽核記錄檔大小:

注意：不正確地編輯登錄可能會對系統造成嚴重損害。在變更登錄前，您應先備份所有重要的資料。

按一下 [開始]，在 [開始搜尋] 中輸入 regedit，再按一下 [繼續]，然後按 ENTER。
在登錄樹狀目錄中，瀏覽至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters，然後按 ENTER。
按兩下 DhcpLogFilesMaxSize，選取 [十進位]，然後輸入大於 [數值資料] 中現有數值的數字。

其他

驗證器：伺服器正在記錄 DHCP 事件

若要確認 DHCP 稽核記錄是否已正確運作：

在 DHCP 伺服器電腦上，按一下 [開始]，然後在 [開始搜尋] 中輸入 Windows Explorer，再按 ENTER。
在 Windows 檔案總管樹狀結構中導覽至 %windir%\System32\Dhcp.
檢視並記錄最近的 DHCP 記錄檔日期戳記。它們應該是最近的時間。定期重複這項程序，並注意是否記錄了新的事件。

Element properties:

Target

Microsoft.Windows.DHCPServer.2012.IPv6Runtime

Parent Monitor

System.Health.SecurityState

Category

StateCollection

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogManualReset2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

DHCP 2012 稽核記錄警示

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true"> <Category>StateCollection</Category> <AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID"> <AlertOnState>Warning</AlertOnState> <AutoResolve>true</AutoResolve> <AlertPriority>Normal</AlertPriority> <AlertSeverity>MatchMonitorHealth</AlertSeverity> <AlertParameters> <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1> </AlertParameters> </AlertSettings> <OperationalStates> <OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">10011</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-DHCP-Server</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </Configuration> </UnitMonitor>