Виконання аудиту
ESA зберігає записи аудиту в журнали подій Windows, особливо в журнал Application у розділі Windows Logs. Для перегляду записів аудиту можна скористуватися програмою Windows Event Viewer.
Якщо інстальовано Reporting Engine (Elasticsearch), ці журнали можна переглядати на екрані Reports вебконсолі ESA.
Записи аудиту розподілені за такими категоріями:
•Аудит користувачів
oУспішні та невдалі спроби автентифікації (неправильній одноразовий пароль або MRK)
oЗміни стану 2FA, наприклад, час блокування облікового запису користувача
•Аудит системи
oЗміна моїх параметрів ESA
oЧас запуску або зупинення служб ESA
Використання стандартної архітектури журналювання подій Windows спрощує використання сторонніх інструментів агрегації й звітування, зокрема LogAnalyzer.