Ein SIEM (Security Information/Incident and Event Management) ist oft der Wunsch des Administrators und im Hinblick auf die Ressourcen, die dafür eingesetzt werden können, nahezu unerschöpflich. Für die ersten wichtigen Erkenntnisse reicht aber auch das bereits vorhandene Event Logging der Ereignisanzeige aus. Mit der Einführung von Windows Server 2008 und Vista hat Microsoft eine wesentlich granularere Technik etabliert. Die Ereignisse sind in Kategorien samt Unterkategorien sortiert, um sie besser überwachen und aufzeichnen zu können. Ein
»auditpol /list /subcategory:*
«
in der Kommandozeile verschafft Ihnen eine schnelle Übersicht über die Möglichkeiten. Der Befehl
»auditpol /get /category:*
«
zeigt die aktuelle Konfiguration.
Die
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.