我想为IP地址(静态或DHCP)的每一个变化获得审计(事件查看器中的事件)。
我尝试在registry项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces设置审计configuration以进行设置值操作。
当我在registry中更改IPAddress时,会看到一个用于该更改的审核项(事件ID 4657), 但是当我使用networking适配器的属性或使用netsh命令更改IP地址时,不会审核新IP的设置地址写入事件日志。
为什么更改不会显示在事件查看器日志中?
我在Windows 7和Windows 2012上试过。