文章总结： 该文档详细规范了WindowsServer2019系统日志审计的配置与操作流程，涵盖审计策略开启、日志存储设置、集中传输及日常运维要求。核心内容包括必须开启的审计项（如账户登录、特权使用等）、日志留存不少于6个月、接入SIEM系统等合规性配置，并强调策略开启+合理留存+集中分析+持续运营的体系化实施要点。 综合评分： 82 文章分类： 安全建设,技术标准,政策法规,应用安全,办公安全

Windows Server 2019日志审计配置操作规程

祺印说信安

2026年4月10日 00:01 河南

以下文章来源于河南等级保护测评 ，作者何威风

河南等级保护测评 .

等级保护，不只是等级测评！一起探讨更全面的等级保护制度！ 做对用户有真实价值的网络安全服务，等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。 传播网络安全知识，分享网络安全政策，共建风清气正的网络安全氛围。

一、目的与适用范围

本规程用于规范Windows Server 2019系统日志的开启、配置、留存与审计管理，确保关键安全事件可记录、可追溯，适用于所有生产服务器、业务系统服务器及管理节点。

二、日志审计总体要求

1. 全面开启审计

   ：覆盖登录、权限、策略、对象访问等关键行为

2. 统一时间

   ：所有服务器必须与NTP时间源同步

3. 日志留存

   ：本地日志不少于6个月（等级保护最低要求）

4. 集中存储

   ：必须接入日志审计系统（SIEM）

5. 防篡改

   ：日志不得随意删除，需配置访问控制

三、审计策略配置步骤

1. 打开组策略配置工具

运行组策略：gpedit.msc 查看配置路径：计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 审核策略

2. 必须开启的审计项（建议全部“成功+失败”）

（1）账户登录类

• 审核登录事件
• 审核账户登录事件
• 审核凭据验证

（2）账户管理类

• 审核账户管理 （新增用户、删除用户、权限变更）

（3）策略变更类

• 审核策略更改 （审计策略、防火墙策略等）

（4）特权使用

• 审核特权使用 （管理员权限调用）

（5）对象访问

• 审核对象访问 （需配合文件/目录审计策略使用）

（6）进程跟踪

• 审核进程创建 （建议重点开启）

（7）系统事件

• 审核系统事件 （重启、关机、系统异常）

3. 关键增强配置（强烈建议）

启用命令行审计

路径：计算机配置 → 管理模板 → 系统 → 审核进程创建 开启：记录命令行参数

*可记录如PowerShell、cmd执行内容（溯源关键）

四、日志存储配置

1. 设置日志大小（防止覆盖）

打开：事件查看器 → Windows 日志 → 安全

建议配置：

• 安全日志：≥2GB（关键系统建议 4GB+）
• 系统日志：≥512MB
• 应用日志：≥512MB

注：日志容量配置请根据业务实际，建议定期查看观察日志增长率，并根据单位实际，合理配置日志大小。

策略：

• 禁止“覆盖旧事件（按需）”
• 建议：归档日志而非覆盖

2. 日志留存策略

• 本地日志：≥180天（最低要求）
• 互联网政务系统日志：≥1年（最低要求）

五、日志集中与传输

1. 配置日志转发（推荐方式）

使用Windows Event Forwarding（WEF）（详见：附件 WEF启用）或Agent方式，将日志发送至SIEM平台（注：Windows 需启用WEF服务或安装Agent）

关键要求：

• 使用加密传输（HTTPS/TLS）
• 保证日志实时或准实时传输
• 防止日志丢失（断点续传）

2. 接入日志审计系统

确保以下日志全部接入：

• 安全日志（Security）
• 系统日志（System）
• 应用日志（Application）
• PowerShell日志

六、安全加固要求

1. 访问控制

• 仅安全管理员（或审计管理员）可访问日志
• 禁止普通管理员删除日志

1. 防篡改措施

• 开启日志完整性保护
• 建议集中存储或WORM机制

1. 日志删除审计

• 开启日志清除事件审计（Event ID 1102）

七、日常运维与审计

1. 日常检查（每日/每周）

• 登录失败异常
• 管理员权限使用
• 异常进程执行
• 非工作时间登录

2. 定期审计（每月/每季度）

• 审计策略是否被关闭
• 日志是否正常生成
• 是否存在日志缺失

3. 安全事件响应

发生安全事件时必须：

• 第一时间导出日志
• 保留原始日志副本
• 禁止覆盖

八、常见问题与风险

1. 未开启审计策略 → 无法溯源
2. 日志容量过小 → 日志被覆盖
3. 未接入SIEM → 审计无效
4. 未定期检查 → 审计策略被关闭不自知

九、合规性说明

本规程满足以下要求：

• 等级保护：日志留存不少于6个月
• 满足“记录用户行为和安全事件”要求
• 支撑安全事件追溯与责任认定
• 符合《中华人民共和国网络安全法》 关于日志留存与审计要求

十、总结

日志不是“开关问题”，而是“体系问题”。只有做到策略开启 + 合理留存 + 集中分析 + 持续运营，才能避免“有日志系统、无有效日志”的伪合规状态，真正发挥日志在安全防护与审计追责中的核心作用。

注：本操作规程仅供参考，在实施前请Windows系统管理员检查验证操作及命令，评估操作可能带来的风险。

附件 WEF启用

| | | — | | 一、前置条件 1. 服务器已加入域环境（推荐），若非域环境需配置本地账号信任 2. 系统已安装最新 Windows 更新 3. 管理员权限（Local Admin 或 Domain Admin） 二、操作步骤1. 检查 WinRM 服务状态 1. 打开 服务管理器（services.msc） 2. 找到Windows Remote Management (WS-Management) 3. 确认服务启动类型为自动 4. 若未启动，右键选择启动 命令行检查：Get-Service WinRM 状态应为：Running 2. 使用命令行快速配置 WinRM 1. 打开PowerShell（管理员权限） 2. 执行以下命令：winrmquickconfig 系统会显示当前状态并提示是否进行配置，输入 Y 确认。 此命令会自动完成： * 启动 WinRM 服务 * 设置启动类型为自动 * 创建监听器（HTTP 默认端口 5985） * 配置防火墙规则允许远程访问 3. 配置 HTTPS（可选但推荐） 为安全起见，生产环境建议使用 TLS/HTTPS 加密传输事件日志： 1. 获取有效证书（自签名或CA签发） 2. 创建HTTPS监听器： winrmcreatewinrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="服务器域名";CertificateThumbprint="证书指纹"} 3. 禁用HTTP（可选）： winrmdeletewinrm/config/Listener?Address=*+Transport=HTTP 4. 设置允许远程访问 1. 启用远程管理权限： Set-ItemWSMan:\localhost\Client\TrustedHosts-Value”*” （生产环境可指定具体目标IP或主机名） 2. 确认防火墙策略允许5985（HTTP）或5986（HTTPS）端口访问 5. 验证WinRM可用性 1. 在收集端测试连接：Test-WsMan<源服务器IP或主机名> 若返回信息正常，则 WinRM 已成功启动并可远程访问 三、安全加固建议 1. 尽量使用HTTPS/TLS，避免明文传输 2. 限制TrustedHosts，只允许收集服务器访问 3. 定期检查WinRM监听器配置，防止被篡改 4. 配合SIEM或WEF审计日志，确保远程访问活动可追溯 注：以上操作及命令需要在操作前，请结合单位自身实际，验证操作及命令有效性。 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《Windows Server 2019日志审计配置操作规程》