日志配置

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核登录事件 。

审核策略

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核策略更改 。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核对象访问 。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核目录服务器访问 。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核特权使用 。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核系统事件 。

审核账户管理

启用本地安全策略中对Windows系统的审核账户管理，成功和失败操作都要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核账户管理 。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略 ，在 本地策略 > 审核策略 中，设置 审核进程追踪 。

日志文件大小

设置应用日志文件大小至少为 8192 KB，可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志。

操作步骤

打开 控制面板 > 管理工具 > 事件查看器 ，配置 应用日志、系统日志、安全日志 属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。