Windows Server 2012及之前版本中，审计日志跟踪远远超出了基本的登录和注销。微软提供了包括报警和生成报告等丰富的特性集。当前大多数IT专业人员面临的挑战是从海量的信息中筛选出任何形式的有意义的安全情报。

日志管理难以掌控，而且管理员经常忽略一些事情。但是不管多复杂的事件监控，这里的四个Windows服务器日志调整可以帮助你轻松应对信息安全的考验：

1. 确定哪些事情需要监控

很容易能够确定哪些事件需要记录日志和进行监控，但是这些真的能帮到你的业务吗？它们的创建可能存在比你想象中更多的不利因素。

你的安全运营团队和帮助台人员需要做什么？忽略IT，确定什么是合法、合规和审计组织需要的。这其中包括确定哪些系统需要更密切的监控。因为所有服务器、上面存储的信息和访问方式都是不平等的。

2. 确定哪里出了问题

有可能是帐户锁定、远程桌面登陆、日志文件清理和工作之外的时间内产生的相关事件。这里有成千上万种原因，因此你需要削减可能的原因，锁定真正的问题。

3. 花时间审核日志，管理员或者供应商

无论你是否使用标准的Windows事件日志，你都将负责自己的安全信息和事件管理（SIEM）或将一切外包给第三方，应该持续和定期完成日志评论。你可能找不到攻击行为或问题就那样发生了，但如果你能足够快地作出反应就可以有所减少对业务的影响。

4. 确定你需要保留多长时间的日志

日志文件管理不善的情况是非常常见的。在某种程度上这跟必须要保留所有日志是相关的。有些以不安全的形式随意存储。另外一些则被删除。坐下来与你的法律顾问和IT治理协会或者安全委员会讨论一个最适合自己业务的计划。

这些看起来都是很明显的事情，但大多数企业都会存在一个两个疏忽。我觉得这也是大多数安全漏洞不断重复出现的原因。

看看过去Windows的漏洞，一些开箱即用的好处可能并不适合你的业务。需要等待一个审计员或者政府官员来告诉你怎么做。绝对不要等到你的第一个巨大的安全漏洞出现。请根据以上的四个关键点确保自己环境的安全。