审核系统事件是Windows操作系统中用于记录系统安全相关操作的功能，主要用于监控、审计和故障排查。通过配置审核策略，管理员可以控制哪些系统事件需要记录，包括事件类型（如登录尝试、服务启动/停止等）和记录级别（成功、失败或无记录）。

一、核心功能

事件监控

可以监控用户登录/登出、服务启动/停止、文件系统变更等关键系统事件。

策略配置

允许管理员定义是否审核特定事件类型（成功、失败或无记录），并指定审核级别。

日志记录

审核结果会生成事件日志条目，便于后续查询和分析。

二、配置方法（Windows 10/11）

本地安全策略设置

按 `Win + R` 打开运行窗口，输入 `gpedit.msc` 回车。

在本地安全策略中，依次展开「安全设置」→「本地策略」→「审核策略」→「审核系统事件」。

根据需求勾选「审核这些操作」下的成功/失败选项，或取消勾选实现无审核。

事件查看器查询

打开事件查看器（Event Viewer），导航到「Windows 日志」→「安全」。

可查看实时审核事件，过滤特定事件类型（如登录失败、服务错误等）。

三、典型应用场景

安全审计

通过审核登录失败事件，检测异常登录行为，防范账户入侵。

故障排查

审核服务启动失败记录，帮助定位系统崩溃或驱动问题。

合规性要求

满足企业安全政策，记录关键操作以备审计。

四、注意事项

默认情况下，域控制器会审核所有系统事件，而成员服务器可能仅审核失败事件。

审核大量事件可能影响系统性能，建议根据实际需求配置。

通过合理配置系统事件审核，可有效提升系统安全性与可管理性。