Windows Show Audit Policy

  AuditPol, bir kullanıcının veya bilgisayarın mevcut denetim politikalarını görüntülemek için kullanılan bir komut satırı aracıdır ve System32 klasöründe bulunur. Ek olarak, alt kategori düzeyinde denetim politikası ayarlarını yönetmek, sorgulamak ve yapılandırmak için kullanılır. Bir bilgisayardaki etkinlikler hakkında doğru ayrıntılar sağlayan çok sayıda denetim alt kategorisi vardır.

Günümüzde logları, sistem güvenliği, sorun giderme, sistem izleme ve yedekleme işlemleri gibi birçok alanda kullanmaktayız. Öncelikle bu işlemleri yapabilmek için öncesinde sistemlerde logların üretilmesi gerekiyor, bunun için yapılması gereken en temel işlemlerden bir tanesi audit ayarlarının ilgili makinalardan açılmasıdır.

 Ancak bu kısımda bilinçsiz bir iş yaparak, gereksiz auditlerin açık bırakılması, hem sistem trafiği hemde maliyet olarak SIEM kullanılıyor ise EPS değerini etkiler. Bunların dışında ️SIEM sunucunuzda daha fazla RAM, CPU ve Disk kaynağı kullanımına ek olarak gereksiz gelen loglar ile ️SIEM iniz bir log çöplüğüne dönecek ve aradığınız kritik logları bulmakta zorlanacaksınız ve zaman kaybı olacak.

Sonuç olarak server rollerine göre audit ayarlarını düzgün yapılandırmanız gerekmektedir. Her sunucuya aynı audit açmak doğru değildir.

Mevcut denetim ayarlarını görüntülemek için Powershell aracını yönetici olarak açıp aşağıdaki komut satırını yazın.

auditpol /get /category:*