Este monitor comprueba si se está configurando la auditoría de registros
El tiempo de ejecución de Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluye funciones normales del servidor DHCPv6. Entre los ejemplos de estas funciones se incluyen la detección no autorizada y la emisión de concesiones.
Los servidores de Protocolo de configuración dinámica de host versión 6 (DHCPv6) incluyen varias funciones de registro y parámetros de servidor que proporcionan funcionalidades de auditoría mejoradas. Es probable que deba configurar las opciones de registro para impedir que este se llene o para conceder permiso al servidor para escribir en él. Puede configurar las propiedades siguientes para mantener el estado correcto de los registros de servidor DHCP:
La ruta de acceso al archivo de registro de auditoría
Una restricción de tamaño máximo
Un intervalo de comprobación del disco
Un requisito de tamaño mínimo
DHCPv6 ha averiguado que no se puede escribir en el registro de auditoría porque está lleno o no se puede obtener acceso a él. El servidor DHCP seguirá funcionando correctamente, pero los eventos de auditoría no se registrarán hasta que no se pueda escribir en el registro.
Solución: eliminar los archivos antiguos de registro de auditoría o aumentar el tamaño máximo del registro de auditoría.
Si el disco está completo o se alcanza el tamaño de registro máximo, el servidor DHCP cierra el archivo actual y omite solicitudes posterior para registrar eventos de auditoría hasta la media noche o hasta que se mejore el estado del disco y el disco ya no está completo. Si el disco está completo, puede agregar más espacio en el disco físico, aumentar el tamaño del registro de auditoría máximo o eliminar los archivos de registro anteriores del directorio de registro predeterminado: %windir%\System32\Dhcp..
Para llevar a cabo estos procedimientos, debe ser miembro del grupo Administradores o tener delegada la autoridad adecuada.
Para aumentar el tamaño del registro de auditoría máximo:
Precaución: la modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, haga una copia de seguridad de los datos importantes.
Haga clic en Inicio, escriba regedit en Iniciar búsqueda, haga clic en Continuar y, a continuación, presione Entrar.
En el árbol del Registro, navegue hasta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters y, a continuación, presione Entrar.
Haga doble clic en DhcpLogFilesMaxSize, seleccione Decimal y, a continuación, escriba un número mayor que el número actual en los datos del valor.
Comprobador: el servidor está registrando eventos de DHCP
Para comprobar que el registro de auditoría DHCP funciona correctamente:
En el equipo servidor DHCP, haga clic en Inicio, escriba Windows Explorer en Iniciar búsqueda y, a continuación, presione Entrar.
Navegue por el árbol de Windows Explorer hasta %windir%\System32\Dhcp..
Visualice y registre las marcas de fecha de los archivos de registro DHCP más recientes. Deben ser recientes. Repita este proceso en intervalos regulares y observe si se registran eventos nuevos.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>