Ce moniteur vérifie que l'enregistrement d'audit à bien été configuré.
L'environnement d'exécution de DHCPv6 (Dynamic Host Configuration Protocol version 6) comprend les fonctions d'exploitation normales du serveur DHCPv6. Par exemple, ces fonctions incluent l'émission de bail et la détection de serveurs non autorisés.
Les serveurs DHCP (Dynamic Host Configuration Protocol) version 6 (DHCPv6) comprennent plusieurs fonctionnalités de journalisation et des paramètres de serveur qui améliorent les capacités d'audit. Vous devrez peut-être configurer les paramètres de journalisation pour empêcher la saturation du fichier journal ou pour autoriser le serveur à écrire dans le journal. Vous pouvez configurer les propriétés suivantes pour veiller à l'intégrité des fichiers journaux du serveur DHCP :
le chemin d'accès au fichier journal d'audit ;
une restriction de taille maximale ;
un intervalle de vérification du disque ;
une taille minimale requise.
DHCPv6 a déterminé qu'il est impossible d'écrire dans le journal d'audit car il est saturé ou inaccessible. Le serveur DHCP va continuer à fonctionner correctement, mais les événements d'audit ne seront pas enregistrés tant que le journal sera inutilisable.
Résolution : supprimez les fichiers journaux d'audit anciens ou augmentez la taille maximale du journal d'audit.
Si le disque est saturé ou la taille maximale du journal est atteinte, le serveur DHCP ferme le fichier actuel et ignore les autres demandes d'enregistrement des événements d'audit jusqu'à minuit ou jusqu'à ce que l'état de disque soit amélioré et le disque ne soit plus plein. Si le disque est saturé, vous pouvez ajouter de l'espace disque, augmenter la taille maximale du journal d'audit ou supprimer d'anciens fichiers journaux du répertoire de journal par défaut : %windir%\System32\Dhcp.
Pour effectuer ces procédures, vous devez être membre du groupe Administrateurs, ou l'autorité appropriée doit vous avoir été déléguée.
Pour augmenter la taille maximale du journal d'audit :
Attention : une modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.
Cliquez sur Démarrer, tapez « regedit » dans la zone Rechercher, cliquez sur Continuer et appuyez sur Entrée.
Dans l'arborescence du Registre, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters, puis appuyez sur ENTRÉE.
Double-cliquez sur DhcpLogFilesMaxSize, sélectionnez Décimale, puis tapez un nombre supérieur au nombre actuel dans la zone Données de la valeur.
Vérification : le serveur consigne actuellement des événements DHCP
pour vérifier que le journal d'audit DHCP fonctionne correctement :
Sur le serveur DHCP, cliquez sur Démarrer, tapez Explorateur Windows dans la zone Rechercher, puis appuyez sur ENTRÉE.
Parcourez l'arborescence de l'Explorateur Windows jusqu'à %windir%\System32\Dhcp.
Affichez et enregistrez les horodatages de date du fichier journal DHCP les plus récents. Ils doivent être récents. Répétez ce processus à intervalles réguliers et vérifiez si de nouveaux événements sont journalisés.
Target | Microsoft.Windows.DHCPServer.2012.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.2012.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>