你在这里

启动 Aduit Log,但在 Server 端看不到我的读写 u 盘的 Log

Forums: 

在 AD 组策略中针对 Removal 启动 Audit Log: Everyone - Full Audit / Audit Allowed
接著我在我的电脑 u 盘 copy 资料,但我在 Devicelock Server 并没有看到任何有关我的电脑的 Log
是不是它对 Domain Admin 帐号或安装软件的帐号默认不作记录的(因为我的帐号又 domain admin 权限)?
请问这是什么原因引起的呢?

你是针对 Everyone 进行 Full Audit (即 Audit Read 及 Write),因此所有人在 Removal 上的存取动作均会被记录下来,不会因为是 Domain Admin 就不被作记录。会造成你所描述的问题,可能有以下几个原因:

  1. 用户端 Devicelock Agent 是否运行正常
    首先要先确认用户端是否有安装的 Devicelock Agent,版本是否正确,Devicelock Agent运行是否正常? 如何进行上述的确认:
    • 使用 DeviceLock Management Console 连接至该电脑
    • 看是否可以正常连线进去? - 若提示要进行安装,代表该电脑原本没有安装 Devicelock Agent - 若提示要进行升级,代表该电脑的 Agent 与你现在所使用的 Devicelock 管理工具版本不一致 - 若有其它错误讯息,则必须一一找出原因,因为正常情况是可顺利连线至用户端。
  2. 用户端 Devicelock Policy 是否已更新 你是将 Devicelock Policy 放到 AD 组策略中,再由用户端至 AD 服务器更新组策略。在 Windows 的环境中,默认是 90 分钟进行组策略更新,所以你必须确认:
    • 该台电脑是否有加入AD域
    • 你的组策略是放在 Domain 或在某个 OU 下,而该电脑是否位於所对应的 Domain 或 OU。必须注意的是 Devicelock Policy 是属於计算机政策,而不是用户政策。
    • 该台电脑是否可顺利更新组策略?若为 XP 环境,你可在用户端电脑执行 gpupdate /force 手动进行组策略刷新,接下来检查 Windows 事件查看器-应用程序,看是否有成功刷新组策略。
    接下来使用 Devicelock Management Console 连到该台电脑,查看其 Devicelock Policy 是否和你在 AD 组策略中的设定一致,需注意的设定有:
    • Removal Audit Log 设定是否为 Everyone - Full Audit
    • Use Group Policy: Enabled
    • DeviceLock Enterprise Server(s): 应指定到 Devicelock Server
    • Audit Log Type: 应该是 DeviceLock Log 或 Event & DeviceLock Logs,若为 Event Log 则该 Log 不会回传服务器
  3. 用户端的 Audit log 是否可正常回传至服务器端 若上述描述均正确,理论上应该正常回传 Log,有可能下述原因造成无法正常回传:
    • 用户端至服务器端有防火墙阻挡
    • 用户端防火墙阻挡,你应允许 文件及打印机共享 及 DLService.exe程序可对外传送数据
    • Devicelock Server与用户端认证错误。其认证有二种:
      • Windows认证:即Devicelock Server应指定具有 Domain Admin 及 Devicelock Admin 身份的用户来执行。
      • 凭证认证:由 Devicelock 软件所产生的一对凭证,在服务器端指定 Private Key,在用户端指定 Public Key