В моей среде около 1500 серверов Windows, около 1000 2012 R2 и 500 2016.
У меня есть список из примерно 150 идентификаторов событий, которые мне сказали регистрировать и архивировать. Я не знаю, какую политику аудита мне нужно включить для успешного аудита каждой. Я не хочу включать все, так как это слишком сильно влияет на производительность. Есть ли лучший способ подойти к этой задаче, кроме исследования каждого идентификатора события в моей электронной таблице и определения того, какую политику аудита мне нужно включить?
Я бы посмотрел на https://system32.eventsentry.com, в нем есть полный список всех событий безопасности Windows с соответствующими подкатегориями аудита.
Я не думаю, что есть способ написать сценарий, но, надеюсь, это отправная точка.
Я знал, что не зря добавил этот сайт в закладки!
Расширенная политика аудита - какой GPO соответствует какому идентификатору события
Надеюсь, что это ответ на ваш вопрос.
Вот еще пара ресурсов:
Справочник по аудиту и мониторингу безопасности Windows 10 и Windows Server 2016