启用系统事件审核日志
本主题包括下列信息:
如何启用安全审核策略
要启用安全审核策略以在审计日志中捕获加载故障,请按照以下步骤操作:
打开提升的命令提示符窗口。 要打开提升的命令提示符窗口,请创建 Cmd.exe 的桌面快捷方式,选择并按住(或右键单击)Cmd.exe 快捷方式,然后选择以管理员身份运行。
在提升的命令提示符窗口中运行以下命令:
Auditpol /set /Category:System /failure:enable重新启动计算机,让更改生效。
以下屏幕截图显示了如何使用 Auditpol 启用安全审核。
如何启用代码完整性诊断事件的详细日志记录
要启用详细日志记录,请按照以下步骤操作:
打开提升的命令提示符窗口。
在命令行中运行 Eventvwr.exe。
在事件查看器左侧窗格的 Event Viewer文件夹下,展开以下子文件夹序列:
应用程序和服务日志
Microsoft
Windows
展开 Windows 文件夹下的 Code Integrity 子文件夹以显示其上下文菜单。
选择“视图”。
选择显示分析和调试日志。 然后,事件查看器将显示一个子树,其中包含一个 Operational 文件夹和一个 Verbose 文件夹。
选择并按住(或右键单击)详细,然后从弹出的上下文菜单中选择属性。
在“属性”对话框中选择“常规”选项卡,然后选择属性页中间附近的“启用日志记录”选项。 这将启用详细日志记录。
重新启动计算机,让更改生效。