Come rilevare chi ha cancellato una prenotazione DHCP

Netwrix Auditor for Windows Server

Per creare un allarme attivato ogni volta che qualcuno elimina una prenotazione DHCP:

1. Esegui Netwrix Auditor Event Log Manager → Clicca su "Modifica" → Clicca su "Aggiungi" → Compila il campo "Nome computer" e clicca su "OK" → Specifica l'account che verrà utilizzato per raccogliere i dati → Clicca su "Salva".
2. Fare clic sul pulsante "Configura" situato accanto a "Avvisi" → Cliccare su "Aggiungi" → Specificare il nome del nuovo avviso e altri dettagli → Fare clic sul pulsante "Aggiungi" per aprire la finestra "Filtri Evento".
3. Passa alla scheda "Campi Evento" → Seleziona la casella "ID Evento" e imposta il suo valore su "107" → Seleziona la casella "Categoria" e imposta il suo valore su "0" → Clicca su "OK".

Ogni volta che qualcuno elimina una prenotazione DHCP, riceverai un avviso simile:

Native Auditing

1. Apri lo snap-in della console di gestione Microsoft (MMC) per DHCP.
2. Nell'albero della console, fare clic sul server DHCP che si desidera configurare → scegliere IPv4 o IPv6.
3. Apri il menu cliccando con il tasto destro su un'istanza DHCP → Vai su Proprietà → Nella scheda “Generale”, seleziona “Abilita registrazione audit DHCP” → Clicca su “OK”.
4. Esegui evenvwr.msc → Vai a “Application and Services Logs” → Spostati su “Microsoft” → Clicca su “Windows” → Seleziona “DHCP-Server” → Clicca su “Microsoft-Windows-DHCP Server Events/Operational”.
5. Cerca l'ID evento 107 per scoprire chi ha eliminato una prenotazione DHCP.
   Ogni volta che qualcuno elimina una prenotazione DHCP, riceverai una notifica simile:

Scopri di più su Netwrix Auditor for Windows Server

Monitorare le cancellazioni delle prenotazioni DHCP per evitare l'indisponibilità del sistema

La cancellazione di una prenotazione DHCP può causare l'indisponibilità dei servizi IT. Ad esempio, gli utenti possono riscontrare problemi nell'accesso alla posta elettronica, ai file server, a SharePoint, ecc. E poiché gli utenti non saranno in grado di accedere ai file sulle risorse condivise aziendali o di utilizzare le loro caselle di posta, l'helpdesk IT vedrà un notevole aumento nel volume di ticket. Per minimizzare il rischio di indisponibilità del sistema e i conseguenti tentativi di accesso falliti, gli amministratori IT devono tenere d'occhio le prenotazioni DHCP e individuare eventuali cancellazioni il più presto possibile.

Netwrix Auditor for Windows Server offre visibilità sull'attività di Windows Server e fornisce informazioni utili su tutti gli eventi e le modifiche relativi all'accesso a Windows Server, inclusa l'eliminazione delle prenotazioni DHCP. Successivamente, utilizzando la funzionalità di Ricerca Interattiva, il personale IT può generare un rapporto di facile lettura che mostra tutti i dettagli su una prenotazione DHCP eliminata, incluso chi l'ha eliminata, quando e dove è avvenuta l'eliminazione e altri dettagli. La soluzione notifica inoltre agli amministratori IT gli indirizzi IP riservati eliminati inviando loro avvisi email per aiutare ulteriormente a prevenire l'indisponibilità del sistema.