Este monitor verifica se a auditoria de registos está a ser configurada
O runtime do Protocolo DHCP (Dynamic Host Configuration Protocol) versão 6 (DHCPv6) inclui funções operacionais normais do servidor DHCPv6. Exemplos destas funções incluem emissão de concessões e deteção de sistemas não autorizados.
Os servidores de Protocolo DHCP (Dynamic Host Configuration Protocol) versão 6 (DHCPv6) incluem funcionalidades de registo e parâmetros de servidor que oferecem capacidades de auditoria melhoradas. Pode ter de configurar as definições de registo para evitar o enchimento do registo e para dar ao servidor permissões para escrever no registo. Pode configurar as seguintes propriedades para manter o bom estado de funcionamento dos registos do servidor DHCP:
O caminho do ficheiro de registo de auditoria
Uma restrição de tamanho máximo
Um intervalo para a verificação do disco
Um requisito de tamanho mínimo
O DHCPv6 determinou que o registo de auditoria não pode ser escrito pois está cheio e não pode ser acedido. O servidor DHCP vai continuar a funcionar corretamente mas os eventos de auditoria não serão registados até que o registo fique gravável.
Resolução: remover os ficheiros antigos de registo de auditoria ou aumentar o tamanho máximo do registo de auditoria
Se o disco estiver cheio ou for atingido o tamanho máximo do registo, o servidor DHCP fecha o ficheiro atual e ignora pedidos adicionais para registar eventos de auditoria até à meia-noite ou até que o estado do disco seja melhorado e o disco tenha espaço suficiente disponível. Se o disco estiver cheio, pode adicionar mais espaço de disco físico, aumentar o tamanho máximo do registo de auditoria ou eliminar ficheiros de registo antigos do diretório de registo predefinido: %windir%\System32\Dhcp.
Para efetuar estes procedimentos, tem de ser um membro do grupo Administradores ou tem de ter a autorização adequada delegada.
Para aumentar o tamanho máximo do registo de auditoria:
Atenção: a edição incorreta do registo pode danificar seriamente o sistema. Antes de fazer alterações ao registo, deve fazer cópia de segurança de todos os dados importantes.
Clique em Iniciar, escreva regedit no campo Iniciar Pesquisa, clique em Continuar e depois prima ENTER.
Na árvore de registo, navegue para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters e depois prima ENTER.
Faça duplo clique em DhcpLogFilesMaxSize, selecione Decimal e depois escreva um número superior ao número atual em Dados do valor.
Verificador: o servidor está a registar eventos do DHCP
Para verificar se o registo de auditoria do DHCP está a funcionar corretamente:
No computador servidor DHCP, clique em Iniciar, escreva Explorador do Windows em Iniciar Pesquisa e depois prima ENTER.
Na árvore do Explorador do Windows, navegue para %windir%\System32\Dhcp.
Consulte e registe os carimbos de data mais recentes do ficheiro de registo do DHCP. Estes devem ser recentes. Repita este processo a intervalos regulares e confirme se os eventos novos estão a ser registados.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>