Comment détecter qui a supprimé une réservation DHCP

Netwrix Auditor for Windows Server

Pour créer une alerte déclenchée chaque fois que quelqu'un supprime une réservation DHCP :

1. Exécutez Netwrix Auditor Event Log Manager → Cliquez sur "Modifier" → Cliquez sur "Ajouter" → Remplissez le champ "Nom de l'ordinateur" et cliquez sur "OK" → Spécifiez le compte qui sera utilisé pour collecter les données → Cliquez sur "Enregistrer".
2. Cliquez sur le bouton « Configurer » situé à côté de « Alertes » → Cliquez sur « Ajouter » → Spécifiez le nom de la nouvelle alerte et d'autres détails → Cliquez sur le bouton « Ajouter » pour ouvrir la fenêtre « Filtres d'événements ».
3. Passez à l'onglet "Champs d'événement" → Cochez la case "ID d'événement" et définissez sa valeur sur "107" → Cochez la case "Catégorie" et définissez sa valeur sur "0" → Cliquez sur "OK".

Chaque fois que quelqu'un supprime une réservation DHCP, vous recevrez une alerte similaire :

Audit Natif

1. Ouvrez la console de gestion Microsoft (MMC) pour DHCP.
2. Dans l'arborescence de la console, cliquez sur le serveur DHCP que vous souhaitez configurer → choisissez IPv4 ou IPv6.
3. Appelez le menu en cliquant droit sur une instance DHCP → Allez dans Propriétés → Dans l'onglet « Général », sélectionnez « Activer la journalisation d'audit DHCP » → Cliquez sur « OK ».
4. Exécutez evenvwr.msc → Naviguez jusqu'à « Application and Services Logs » → Allez dans « Microsoft » → Cliquez sur « Windows » → Sélectionnez « DHCP-Server » → Cliquez sur « Microsoft-Windows-DHCP Server Events/Operational ».
5. Recherchez l'Event ID 107 afin de découvrir qui a supprimé une réservation DHCP.
   Chaque fois que quelqu'un supprime une réservation DHCP, vous recevrez une notification similaire :

En savoir plus sur Netwrix Auditor for Windows Server

Surveillez les suppressions de réservations DHCP pour éviter l'indisponibilité du système

La suppression d'une réservation DHCP peut entraîner l'indisponibilité des services informatiques. Par exemple, les utilisateurs peuvent rencontrer des problèmes pour accéder à leur courrier électronique, aux serveurs de fichiers, à SharePoint, etc. Et parce que les utilisateurs ne pourront pas accéder aux fichiers sur les ressources partagées de l'entreprise ou utiliser leurs boîtes aux lettres, le service d'assistance informatique verra une augmentation significative du volume de tickets. Pour minimiser le risque d'indisponibilité du système et les tentatives d'accès échouées qui en résultent, les administrateurs informatiques doivent surveiller les réservations DHCP et détecter toute suppression dès que possible.

Netwrix Auditor for Windows Server offre une visibilité sur l'activité de Windows Server et fournit des informations exploitables concernant tous les événements et modifications d'accès à Windows Server, y compris la suppression des réservations DHCP. Ensuite, en utilisant la fonctionnalité de recherche interactive, le personnel informatique peut générer un rapport facile à lire présentant tous les détails sur une réservation DHCP supprimée, y compris qui l'a supprimée, quand et où la suppression a eu lieu, et d'autres détails. La solution notifie également les administrateurs informatiques des adresses IP réservées supprimées en leur envoyant des alertes par courriel afin de les aider davantage à prévenir l'indisponibilité du système.