Столкновение с чем-то очень болезненным. Мы используем Microsoft Network Policy Server, и нам нужна подкатегория событий безопасности Network Policy Server для работы, в частности, события с идентификаторами 6273 и 6272. NPS работает, но журналы событий не записываются.
Мы проверили следующее:
Сервер сетевой политики настроен на регистрацию успешных и неудачных событий:
PS > auditpol /get /subcategory:"Network Policy Server"
System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
PS > cat $env:systemroot\security\audit\audit.csv | select-string net
,System,Audit Network Policy Server,{0cce9243-69ae-11d9-bed3-505054503030},Success and Failure,,3
Мы подтвердили, что NPS настроен на регистрацию:
Неприемлемые обходные пути:
Текстовые журналы. Они пишутся без проблем, но у нас есть множество служб и инструментов, настроенных на использование данных журнала событий, которые должен работать
Что мы пробовали:
Независимо от каких-либо изменений, события NPS не записываются в журнал событий.
Я как бы в растерянности, помимо погружения в procmon, но я понятия не имею, когда / где это может дать сбой, поэтому что-то столь многословное может не быть очень полезным.
Спасибо!
Я бы попытался отключить ведение журнала, а затем снова включить его (возможно, с перезагрузкой перед повторным включением)
Из командной строки с повышенными привилегиями:
Отключить
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable
Включить
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable