啟用系統事件稽核記錄
這個主題涵蓋下列資訊:
如何啟用安全審核策略
若要啟用安全性稽核策略以擷取稽核記錄中的負載失敗,請遵循下列步驟:
開啟提高權限的命令提示字元視窗。 若要開啟提升許可權的命令提示字元視窗,請建立桌面快捷方式以Cmd.exe、選取並按住Cmd.exe快捷方式,然後選取 [以系統管理員身分執行]。
在提升許可權的 [命令提示字元] 視窗中,執行下列命令:
Auditpol /set /Category:System /failure:enable重新啟動計算機,變更才會生效。
下列螢幕快照顯示如何使用 Auditpol 來啟用安全性稽核。
如何啟用程式代碼完整性診斷事件的詳細信息記錄
若要啟用詳細信息記錄,請遵循下列步驟:
開啟提高權限的命令提示字元視窗。
在命令行上執行 Eventvwr.exe 。
在 事件檢視器 左窗格中的 [事件檢視器] 資料夾底下,展開下列子資料夾順序:
應用程式和服務記錄
Microsoft
Windows
展開 Windows 資料夾下的 [程式代碼完整性] 子資料夾,以顯示其操作功能表。
選取 [檢視]。
選取 [ 顯示分析和偵錯記錄]。 事件檢視器 接著會顯示包含的子樹操作資料夾和 Verbose 資料夾。
選取並按住 [或以滑鼠右鍵按下] 詳細信息 ,然後從快捷功能表選取 [屬性 ]。
選取 [屬性] 對話方塊上的 [一般] 索引標籤,然後選取屬性頁中間附近的 [啟用記錄] 選項。 這會啟用詳細信息記錄。
重新啟動計算機,變更才會生效。