Monitor de Log de Auditoria do DHCP 2012 - Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor) (PTB)

Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor)

Este monitor verifica se a auditoria do log está sendo configurada

Knowledge Base article:

Resumo

O tempo de execução de Protocolo DHCP versão 6 (DHCPv6) inclui funções de operação normal do servidor DHCPv6. Exemplos dessas funções incluem emissão de concessão e detecção de invasão.

Os servidores de Protocolo DHCP versão 6 (DHCPv6) incluem diversos recursos de log e parâmetros de servidor que fornecem capacidades de auditoria aprimoradas. Pode ser preciso configurar as configurações de log. para evitar que o log. encha ou dê permissões de gravação ao servidor para o log. É possível configurar as seguintes propriedades para manter os logs do servidor DHCP adequados:

O caminho do arquivo de log de auditoria
Uma restrição de tamanho máximo
Um intervalo para verificação de disco
Um requisito de tamanho mínimo

Causas

O DHCPv6 determinou que não pode gravar no log de auditoria porque o log está cheio ou não pode ser acessado. O servidor DHCP continuará a funcionar corretamente, mas os eventos de auditoria não serão registrados até o log ser escrito.

Resoluções

Resolução: Remova arquivos antigos do log de auditoria ou aumente seu tamanho ao máximo.

Se o disco estiver cheio ou o tamanho máximo de log for alcançado, o servidor DHCP fecha o arquivo atual e ignora solicitações adicionais de log de eventos de auditoria até a meia-noite ou até que o status do disco seja aprimorado e o mesmo não esteja mais cheio. Se o disco estiver cheio, você pode adicionar mais espaço físico em disco, aumentar o tamanho máximo do log de auditoria ou excluir arquivos antigos do diretório de log padrão: %windir%\System32\Dhcp.

Para executar esses procedimentos, é preciso ser membro do grupo Administradores ou ter recebido a autoridade apropriada.

Para aumentar o tamanho máximo do log de auditoria:

Cuidado: a edição incorreta do registro pode danificar gravemente o sistema. Antes de fazer alterações no registro, faça backup de todos os dados importantes.

Clique em Iniciar, digite regedit em Iniciar Pesquisa, clique em Continuar e pressione ENTER.
Na árvore de Registro, navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \ Services\DHCPServer\Parameters e pressione ENTER.
Clique duas vezes em DhcpLogFilesMaxSize, selecione Decimal e digite um número maior que o atual em dados de Valor.

Adicional

Verificador: O servidor está registrando eventos do DHCP

Para verificar se o log de auditoria de DHCP está funcionando corretamente:

No computador servidor DHCP, clique em Iniciar, digite Windows Explorer em Iniciar Pesquisa e pressione ENTER.
Navegue pela árvore do Windows Explorer até %windir%\System32\Dhcp.
Exibir e gravar os registros de data do arquivo de log DHCP mais recentes. Eles devem ser recentes. Repita este processo em intervalos regulares e observe se novos eventos estão sendo registrados.

Element properties:

Target

Microsoft.Windows.DHCPServer.2012.IPv6Runtime

Parent Monitor

System.Health.SecurityState

Category

StateCollection

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogManualReset2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Alerta de Log de Auditoria do DHCP 2012

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true"> <Category>StateCollection</Category> <AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID"> <AlertOnState>Warning</AlertOnState> <AutoResolve>true</AutoResolve> <AlertPriority>Normal</AlertPriority> <AlertSeverity>MatchMonitorHealth</AlertSeverity> <AlertParameters> <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1> </AlertParameters> </AlertSettings> <OperationalStates> <OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">10011</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-DHCP-Server</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </Configuration> </UnitMonitor>