启动安全性日志
依次单击“开始”、“运行”,键入 mmc /a(注意 mmc 和 /a 之间有空格),然后单击“确定”。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“管理单元”下,单击“组策略”,然后单击“添加”。
在“选择组策略对象”中,选择“本地计算机”,依次单击“完成”、“关闭”,然后单击“确定”。
在“控制台根节点”中,选择“本地计算机策略”,然后单击“审核策略”。
位置

本地计算机策略
计算机配置
Windows 设置
安全设置
本地策略
审核策略
在详细信息窗格中,右键单击要审核的属性或事件。
在“属性”中,选择所需选项,然后单击“确定”。
对于要审核的其他事件,请重复步骤 6 和 7。
注意

必须作为管理员或 Administrators 组的成员登录才能启动安全性日志记录。只有管理员才能使用“组策略”。
如果以前使用“组策略”保存过控制台,则可以打开已保存的控制台并转到第 5 步。
如果计算机与网络相连,安全性日志可能会被网络策略限制或禁用。
由于安全性日志的大小受到限制,因此应该仔细选择要审核的事件,并且考虑安全性日志可占用的磁盘空间。有关更改日志大小的信息,请参阅“相关主题”。
该过程适用于运行 Windows XP Professional 和 Windows XP 64 位版本的计算机,以及作为单独服务器或成员服务器运行的 Windows 2000 计算机。关于如何启动域控制器的安全性日志的信息,请参阅“相关主题”。
如果远程计算机上已经启用安全审核,则可以用“事件查看器”远程查看事件日志。以作者模式打开 MMC 控制台,并且将“事件查看器”添加到控制台中。当系统提示指定管理单元要管理的计算机时,请单击“另一台计算机”,然后输入远程计算机的名称。
只能由域管理员远程启用对工作站、成员服务器和域控制器的安全审核。为此,请在启动域控制器的安全性日志中参阅最后的注释。