Установив и настроив одну из операционных систем: Windows 2008/R2/7 в своей сети, Вы обязательно заметите, что в Security Log полным-полно событий с разными идентификаторами (Event ID), но от одного источника (Source): Microsoft Windows security auditing. Идентификаторы событий обычно такие: 4656, 5156, 4658.

Записанных событий так много, что они за пару часов полностью заполняют объем, отведенный для журнала. В итоге Вы получите 2 часа полностью неинформативного лога.

Однажды в одной компании мне пришлось поднимать бэкапы для того, чтобы прочитать, что же происходило в определенный день. Кстати, как оказалось, делать бэкапы журналов аудита очень полезно!

Так или иначе, озадачившись решением данной проблемы, выход был найден очень быстро. За запись этих событий отвечает ветка параметров в групповой политике (локальной или доменной, как Вам удобно). Подробности смотрите на скриншоте.

Вот например вот так можно настроить.

• Facebook
• ВКонтакте