Журнал аудита для всех действий, предпринятых с правами администратора

PCI DSS 10.2 гласит: "Внедрите автоматические контрольные журналы для всех компонентов системы, чтобы восстановить следующие события:"и 10.2.2 продолжается",Все действия, предпринятые любым человеком с привилегиями root или администратора."

Я изо всех сил пытаюсь сделать это на наших машинах с Windows (Windows 7, 8 и 2008R2).

OSSEC может регистрировать изменения в файлах и записях реестра, но он не соответствует этому требованию, поскольку не регистрирует ВОЗ внес изменения.

Я пробовал использовать встроенную политику аудита в Windows, так: http://blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging-in-windows/

Итак, я запустил secpol.msc, перешел в «Локальные политики»> «Политика аудита» и включил «Успех» и «Отказ» для всех записей.

Затем я выбрал редко используемую папку данных в качестве теста: «Свойства»> «Безопасность»> «Дополнительно»> «Аудит»> «Добавить».

Select a principal: Administrators
Type: All
Access: Full control
Advanced Permissions: Only write, create and execute-related permissions checked.

Это регистрирует весь доступ к файлам в папке, но проблема в том, что журнал событий теперь заполняется записями не только явных членов группы «Администраторы», но и, по-видимому, любого процесса с правами администратора (например, процессов Антивируса).

Также обратите внимание, что приведенное выше относится только к одной редко используемой папке - мне придется добавить журнал для всех системных папок и т. Д., Что значительно ухудшит переполнение журнала.

Как я могу регистрировать все действия, предпринятые администратором пользователи (см. выше 10.2.2) без всего этого лишнего шума?

Кроме того, приведенный выше аудит охватывает изменения файловой системы, но как проверить ключ изменения реестра?

Буду признателен за совет о том, как выполнить указанное выше требование (желательно без больших затрат на коммерческий продукт).