none
В журнале Безопасность не пишутся события Тип входа (LogonType) = 10 RRS feed

  • Вопрос

  • В Windows Server 2012 (не R2) в Просмотре событий в журнале Безопасность по-умолчанию не пишутся (или не отображаются?) события Тип входа (LogonType) имеющие значение 10. Поэтому нет возможности через журнал Безопасность найти попытки входа на сервер через Terminal Services или Remote Desktop Фильтров для этого журнала никаких не установлено. Всё по-умолчанию выставлено. Остальные LogonType, например, имеющие значение 3 (Сетевой вход в систему) пишутся и отображаются.

    На всякий случай проверил аудит входа в систему на сервере Windows Server 2012

    auditpol /get /Subcategory:"Вход в систему"
    
    Политика аудита системы
    Категория или подкатегория   Параметр Вход/выход
    Вход в систему   Успех и отказ

    Пробовал согласно этой статье активировать аналитический и отладочный журналы.  Ввожу команду

    wevtutil sl Security /e:true

    Получаю ошибку:

    Свойство канала Enabled содержит недопустимое значение. Значение имеет недопустимый тип, находится за пределами допустимого диапазона, не может быть обновлено или не поддерживается этим типом канала.

    Не удалось сохранить конфигурацию или активировать журнал Security. Параметр задан неверно.

    В Windows Server 2008 R2 такие события по-умолчанию фиксировались.

    Вопрос: Что можно "подкрутить" или в какую сторону смотреть, чтобы на Windows Server 2012 фиксировать попытки входа на сервер через Terminal Services или Remote Desktop?


    MCSA



    • Изменено ЙоЖыГ 25 февраля 2015 г. 3:39 оформление
    25 февраля 2015 г. 3:36

Ответы

  • Проблема решена. Надо было для активации Аналитического и отладочного журнала вводить команду без  /e:true (т.к. этот журнал уже включен), вот так:

    wevtutil sl Security
    После этого в журнале стали отображаться LogonType со значением 10

    MCSA


    • Помечено в качестве ответа ЙоЖыГ 25 февраля 2015 г. 3:46
    • Изменено ЙоЖыГ 25 февраля 2015 г. 3:48 дополнение
    25 февраля 2015 г. 3:46