Этот монитор проверяет настройку журнала аудита.
Среда выполнения DHCPv6 включает обычные рабочие функции DHCPv6-сервера. К ним, например, относится выдача аренды и обнаружение незаконных серверов и клиентов.
DHCPv6-серверы имеют ряд функций ведения журнала и серверных параметров, обеспечивающих расширенные возможности аудита. Для предотвращения переполнения журнала или предоставления серверу разрешений на запись в журнал может потребоваться настройка параметров журнала. Для поддержания работоспособности журналов DHCP-сервера можно настроить следующие свойства:
Путь к файлу журнала аудита.
Ограничение максимального размера.
Интервал проверки диска.
Ограничение минимального размера.
Система DHCPv6 определила, что запись в журнал аудита невозможна, так как он полон или недоступен. DHCP-сервер продолжит работу в штатном режиме, но события аудита не будут записываться, пока не будет восстановлена возможность записи в журнал.
Решение: удалите старые файлы журналов аудита или увеличьте максимальный размер журнала аудита
Если диск заполнен или достигнут максимальный размер журнала, DHCP-сервер закрывает текущий файл и игнорирует последующие запросы на запись событий аудита, пока не наступит полночь или не изменится состояние диска и он перестанет быть полным. Если диск заполнен, можно добавить дополнительное физическое дисковое пространство, увеличить максимальный размер журнала аудита или удалить старые файлы журнала из каталога журнала по умолчанию: %windir%\System32\Dhcp.
Для выполнения этих процедур пользователь должен быть членом группы "Администраторы" или ему должны быть делегированы соответствующие полномочия.
Чтобы увеличить максимальный размер журнала аудита, выполните указанные ниже действия.
Внимание! Неправильное редактирование реестра может существенно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Нажмите кнопку "Пуск", введите в поле поиска "regedit", щелкните "Продолжить" и нажмите клавишу ВВОД.
В дереве реестра перейдите на ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\DHCPServer\Parameters и нажмите клавишу ВВОД.
Дважды щелкните параметр DhcpLogFilesMaxSize, выберите "Десятичный" и введите число, превышающее текущее число в поле "Значение".
Средство проверки: сервер записывает события DHCP
Чтобы проверить, что журнал аудита DHCP работает правильно:
На серверном компьютере DHCP нажмите кнопку "Пуск", введите в поле "Начать поиск" команду "проводник" и нажмите клавишу ВВОД.
По дереву проводника перейдите к %windir%\System32\Dhcp.
Просмотрите и запишите последние отметки даты файлов журналов DHCP. Они должны быть недавними. Регулярно повторяйте этот процесс, отмечая, заносятся ли в журнал новые события.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>