Este monitor verifica se a auditoria do log está sendo configurada
O tempo de execução de Protocolo DHCP versão 6 (DHCPv6) inclui funções de operação normal do servidor DHCPv6. Exemplos dessas funções incluem emissão de concessão e detecção de invasão.
Os servidores de Protocolo DHCP versão 6 (DHCPv6) incluem diversos recursos de log e parâmetros de servidor que fornecem capacidades de auditoria aprimoradas. Pode ser preciso configurar as configurações de log. para evitar que o log. encha ou dê permissões de gravação ao servidor para o log. É possível configurar as seguintes propriedades para manter os logs do servidor DHCP adequados:
O caminho do arquivo de log de auditoria
Uma restrição de tamanho máximo
Um intervalo para verificação de disco
Um requisito de tamanho mínimo
O DHCPv6 determinou que não pode gravar no log de auditoria porque o log está cheio ou não pode ser acessado. O servidor DHCP continuará a funcionar corretamente, mas os eventos de auditoria não serão registrados até o log ser escrito.
Resolução: Remova arquivos antigos do log de auditoria ou aumente seu tamanho ao máximo.
Se o disco estiver cheio ou o tamanho máximo de log for alcançado, o servidor DHCP fecha o arquivo atual e ignora solicitações adicionais de log de eventos de auditoria até a meia-noite ou até que o status do disco seja aprimorado e o mesmo não esteja mais cheio. Se o disco estiver cheio, você pode adicionar mais espaço físico em disco, aumentar o tamanho máximo do log de auditoria ou excluir arquivos antigos do diretório de log padrão: %windir%\System32\Dhcp.
Para executar esses procedimentos, é preciso ser membro do grupo Administradores ou ter recebido a autoridade apropriada.
Para aumentar o tamanho máximo do log de auditoria:
Cuidado: a edição incorreta do registro pode danificar gravemente o sistema. Antes de fazer alterações no registro, faça backup de todos os dados importantes.
Clique em Iniciar, digite regedit em Iniciar Pesquisa, clique em Continuar e pressione ENTER.
Na árvore de Registro, navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \ Services\DHCPServer\Parameters e pressione ENTER.
Clique duas vezes em DhcpLogFilesMaxSize, selecione Decimal e digite um número maior que o atual em dados de Valor.
Verificador: O servidor está registrando eventos do DHCP
Para verificar se o log de auditoria de DHCP está funcionando corretamente:
No computador servidor DHCP, clique em Iniciar, digite Windows Explorer em Iniciar Pesquisa e pressione ENTER.
Navegue pela árvore do Windows Explorer até %windir%\System32\Dhcp.
Exibir e gravar os registros de data do arquivo de log DHCP mais recentes. Eles devem ser recentes. Repita este processo em intervalos regulares e observe se novos eventos estão sendo registrados.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>