监视 Windows XP 安全事件可以通过在“组策略”中启用审核来跟踪 Windows XP 的安全事件。
可以指定只要执行了某项操作或访问了某个文件,就将某项审核记录写到安全事件日志中。
审核项目显示了执行的操作、执行操作的用户以及执行的日期和时间。
您可以审核在操作时成功和失败的尝试,审核跟踪可以显示网络上操作的执行者以及谁在试图执行不允许的操作。
事件在默认情况下是未经审核的。如果您有管理员权限,则您可通过组策略\计算机配置\Windows 设置\安全设置\本地策略\审核策略来指定审核哪类系统事件。
对于文件和对象访问,您可指定要监视的文件和打印机、文件类型和对象访问以及对哪些用户或组进行监视。例如,当启用“审核对象访问”时,您可使用文件或文件夹中的“属性”对话框的“安全”选项卡(通过 Windows 资源管理器访问)来指定审核哪个文件以及为这些文件审核哪种类型的访问事件。
您只能在 NTFS 驱动器上审核文件和文件夹的访问,以识别谁对文件和文件夹采取了不同类型的操作。
