Виконання аудиту

ESA зберігає записи аудиту в журнали подій Windows, особливо в журнал Application у розділі Windows Logs. Для перегляду записів аудиту можна скористуватися програмою Windows Event Viewer.

Якщо інстальовано Reporting Engine (Elasticsearch), ці журнали можна переглядати на екрані Reports веб-консолі ESA.

 

Записи аудиту розподілені за такими категоріями:

Аудит користувачів

oУспішні та невдалі спроби автентифікації (неправильній одноразовий пароль або MRK)

oЗміни стану 2FA, наприклад, час блокування облікового запису користувача

Аудит системи

oЗміна моїх параметрів ESA

oЧас запуску або зупинення служб ESA

Використання стандартної архітектури журналювання подій Windows спрощує використання сторонніх інструментів агрегації й звітування, зокрема LogAnalyzer.