Prečo by mal administrátor zapnúť audit?

Politika auditu stanovuje, ktoré bezpečnostné udalosti budú ukládané do logov a následne reportováné správcovi.

Administrátor musí monitorovať bezpečnostné a systémové udalosti v systémoch, protože bez auditu je správca prakticky slepý. Vetšina systémových služieb a procesov, ktoré nie sú interaktivne, zasiela informácie o aktivite len do systémových logov.

Typickým príkladom je linuxový démon cron, který je zodpovedný za štartovanie úloh v predefinovanom čase. Pred aplikovaním auditu sa musí správca rozhodnúť, ktoré bezpečnostné udalosti sa musia sledovať. Na Internete nájdete návody, ako zapnúť audit napr. pre  Active Directory s  Windows 2003 môžete využiť návod - HOW TO: Audit Active Directory Objects in Windows Server 2003 http://support.microsoft.com/kb/814595.

Obdobne nájdete návody na zapnutie auditu v iných OS.

doporučené zapnutie auditu na serveroch s W2003 (na serverech i doménových kontroleroch):

•·    Audit Account Logon Events                    | Success, Failure

•·    Audit Account Management            | Success, Failure

•·    Audit Directory Service Access       | Failure

•·    Audit Logon Events                         | Success, Failure

•·    Audit Object Access                        | Failure

•·    Audit Policy Change                        | Success, Failure

•·    Audit Privilege Use                          | Failure

•·    Audit Process Tracking                    | Not Defined

•·    Audit System Events                        | Success, Failure

Zapnutie môže ľahko zahltiť logy Preto byste mali zapínat niekteré druhy auditu iba v nutnosti. Na Windows môže byť zapnutá služba SNMP a WMI pre vzdialený monitoring.