Auditing en Event viewer

Tasks op de server kan men registreren in een logfile.
Men maakt een onderscheid tussen:

De eventlog-service start automatisch bij installatie van windows NT en kan via start,settings, control panel, services gestopt worden.

user rights
Kies user manager for domains, policies, audit. Hier kunnen verschillende security-events in de logfile geplaatst worden.
- logon en logoff: zowel locaal in- en uitloggen als via het netwerk
- file and object access: toeganscontrole op directories, files en printers (zie volgende)
- use of user rights: wanneer een user right aangesproken wordt
- user and group management: acties met users en groepen: creatie, wijzigingen, wissen
- security policy changes: wijzigingen in user rights, audit en trust relationships
- restart, shutdown and system
- process tracking:gedetailleerde informatie over werkende programma's
directories en files
Kan enkel op een NTFS-systeem en indien de optie audit file and object access in de audit policy (zie vorige) aanstaat.
Selecteer de directory of file, kies properties,security,auditing. Voer de naam van de groep(en), de user(s) of erveryone in. Klik de te auditeren actie aan.
Het audit verschijnt als een object access in de securitylog.
printers
Selecteer start,settings, printers en kies de properties van de printer, security,auditing.

Via administrative tools, event viewer

Een dubbelklik op het event geeft de gedetailleerde informatie met o.a. de process ID, de user name, domainname en logon ID.
Met de optie log, log settings kan men vermijden dat de logfile te groot wordt.
Clear all events laat toe de logfile te wissen.
Met select computer kan men de logfile van een andere computer bekijken (ook via RAS)
Filter events is nodig om een gedeeltelijke lijst uit de logfile te filtreren.