為了讓您檢閱及報告助理管理員動作,DRA 會在管理伺服器電腦上的記錄歸檔中,記錄所有使用者操作。使用者操作包括變更定義的所有嘗試,例如更新使用者帳戶、刪除群組或重新定義 ActiveView。DRA 也會記錄特定內部操作,例如管理伺服器初始化及相關的伺服器資訊。除了記錄這些稽核事件之外,DRA 也會記錄事件前後的值,以便您可看到實際變更的項目。
DRA 會使用資料夾 NetIQLogArchiveData,稱為記錄歸檔來安全儲存歸檔的記錄資料。DRA 會隨時間將記錄歸檔,然後透過稱為清理的程序,刪除較舊的資料以提供空間給較新的資料。
DRA 會使用儲存在記錄歸檔檔案中的稽核事件,來顯示活動詳細資料報告,例如顯示在特定期間對物件進行了哪些變更。您也可以將 DRA 設定為從這些記錄歸檔,將資訊輸出至 NetIQ 報告中心用來顯示管理報告的 SQL Server 資料庫。
DRA 一律會將稽核事件寫入記錄歸檔。您也可以啟用或停用讓 DRA 將事件寫入至 Windows 事件記錄。
當您安裝 DRA 時,稽核事件預設不會記錄在 Windows 事件記錄中。您可以修改登錄機碼來啟用這個類型的記錄。
警告:請謹慎編輯您的 Windows 登錄。如果您的登錄中發生錯誤,您的電腦可能會故障。如果發生錯誤,您可以將登錄還原為上次成功啟動電腦時的狀態。如需詳細資訊,請參閱 Windows 登錄編輯器的說明。
若要啟用事件稽核:
按一下「開始」>「執行」。
在開啟欄位中輸入 regedit,然後按一下確定。
展開下列登錄機碼:HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Modules\ServerConfiguration\。
按一下編輯 > 新增 > DWORD 值。
輸入 IsNTAuditEnabled 作為機碼名稱。
按一下編輯 > 修改。
在值資料欄位中輸入 1,然後按一下確定。
關閉登錄編輯器。
若要停用事件稽核:
按一下「開始」>「執行」。
在開啟欄位中輸入 regedit,然後按一下確定。
展開下列登錄機碼:HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Modules\ServerConfiguration\。
選取 IsNTAuditEnabled 機碼。
按一下編輯 > 修改。
在值資料欄位中輸入 0,然後按一下確定。
關閉登錄編輯器。
為了確定所有使用者動作都已稽核,DRA 會在產品無法驗證記錄活動時,提供替代記錄方法。當您安裝 DRA 時,AuditFailsFilePath 機碼和路徑會新增至您的登錄,以確保下列動作:
如果 DRA 偵測到稽核事件不再記錄在記錄歸檔中,DRA 會在管理伺服器的本機檔案中記錄稽核事件。
如果 DRA 無法將稽核事件寫入至本機檔案,DRA 會將稽核事件寫入至 Windows 事件記錄。
如果 DRA 無法將稽核事件寫入至 Windows 事件記錄,產品會將稽核事件寫入至 DRA 記錄。
如果 DRA 偵測到未記錄稽核事件,它會封鎖進一步的使用者操作。
若要在記錄歸檔無法使用時啟用寫入操作,您也必須為 AllowOperationsOnAuditFailure 機碼設定登錄機碼值。
警告:編輯您的 Windows 登錄時請小心謹慎。如果您的登錄中發生錯誤,您的電腦可能會故障。如果發生錯誤,您可以將登錄還原為上次成功啟動電腦時的狀態。如需詳細資訊,請參閱 Windows 登錄編輯器的說明。
若要啟用寫入操作:
按一下「開始」>「執行」。
在開啟欄位中輸入 regedit,然後按一下確定。
展開下列登錄機碼:HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Audit\。
按一下編輯 > 新增 > DWORD 值。
輸入 AllowOperationsOnAuditFailure 作為機碼名稱。
按一下編輯 > 修改。
在值資料欄位中輸入 736458265。
在基本欄位中選取十進位,然後按一下確定。
關閉登錄編輯器。