Аудит

ESA создает записи аудита в журналах событий Windows (в частности, авторизация в Application (Приложении) в разделе Windows Logs (Журналы Windows)). Это Windows Event Viewer (Средство просмотра событий) может использоваться для просмотра записей аудита.

Установка модуля отчетности (Elasticsearch) позволит просматривать данные журналы на экране Reports (Отчеты) веб-консоли ESA.

Записи аудита подразделяются на следующие категории:

•Аудит пользователей

oУспешные и неудачные попытки аутентификации (неверные данные OTP или MRK).

oИзменение состояния 2FA (Двухфакторная аутентификация), например при блокировке учетной записи пользователя

•Аудит системы

oИзменение настроек ESA

oКогда службы ESA запущены или остановлены

Стандартная архитектура ведения журнала событий Windows упрощает использование сторонних средств агрегирования и создания отчетов, например LogAnalyzer.