Tento monitor kontroluje, zda probíhá konfigurace audit protokolu
Modul runtime protokolu DHCPv6 (Dynamic Host Configuration Protocol version 6) zahrnuje normální provozní funkce serveru DHCPv6. Mezi tyto funkce patří např. vystavování zapůjčení a zjišťování neautorizovaných serverů.
Servery DHCPv6 (Dynamic Host Configuration Protocol version 6) zahrnují několik funkcí protokolování a parametry serveru, které poskytují rozšířené možnosti auditování. Aby se protokol nezaplnil nebo k poskytnutí oprávnění pro zápis do protokolu serveru může být nutné nakonfigurovat nastavení protokolu. Pro uchování protokolů serveru DHCP v dobrém stavu můžete nakonfigurovat následující vlastnosti:
Cesta k souboru protokolu auditu
Omezení maximální velikosti
Interval pro kontrolu disku
Požadavek minimální velikosti
Služba DHCPv6 zjistila, že protokol auditu nelze zapsat, protože je plný nebo je nepřístupný. Server DHCP bude i nadále správně fungovat, ale události auditu nebudou zaznamenávány, dokud do protokolu nebude možné zapisovat.
Řešení: odeberte staré soubory protokolů auditu nebo zvětšete maximální velikost protokolu auditu
Pokud je disk plný nebo byla dosažena maximální velikost protokolu, server DHCP zavře aktuální soubor a ignoruje další požadavky protokolování událostí auditu buď do půlnoci, nebo dokud se stav disku nezlepší a disk již není plný. Pokud je disk plný, můžete přidat více fyzického místa na disku, zvýšit maximální velikost protokolu auditu nebo odstranit staré soubory protokolu z výchozího adresáře protokolu: %windir%\System32\Dhcp.
K provedení těchto postupů musíte být členem skupiny Administrators nebo vám musí být delegováno příslušné pověření.
Postup zvětšení velikosti protokolu auditu:
Upozornění: nesprávné úpravy registru mohou vést k závažnému poškození systému. Před provedením změn registru byste měli zálohovat cenná data.
Klikněte na nabídku Start, zadejte ve vyhledávání text regedit, klikněte na tlačítko Pokračovat a poté stiskněte klávesu ENTER.
Ve stromu registru přejděte k položce HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters a stiskněte klávesu ENTER.
Dvakrát klikněte na položku DhcpLogFilesMaxSize, vyberte možnost Desítková a zadejte do pole Údaj hodnoty větší číslo, než je současná hodnota.
Ověřování: server protokoluje události serveru DHCP
Postup ověření řádné funkce protokolu auditu DHCP:
Na počítači serveru DHCP klikněte na nabídku Start, zadejte v poli Vyhledávání text Windows Explorer a stiskněte klávesu ENTER.
Přejděte v adresářové struktuře Průzkumníka Windows do složky %windir%\System32\Dhcp.
Prohlédněte a poznamenejte si nejnovější časová razítka souboru protokolu DHCP. Měla by být aktuální. Tento postup opakujte v pravidelných intervalech a poznamenejte si, zda se protokolují nové události.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>