[VladDV]

Наверное я слишком общий вопрос задал. Попытаюсь конкретизировать, что нужно:

1) Изменения в AD (создание/изменение/удаление пользователей, групп, объектов и т.п., изменения групповых политик).
2) Появление новых компьютеров в сети, изменения соответствия MAC/IP.
3) Вход под локальным администратором. Создание локальных пользователей.
4) Запуск процессов, не свойственных сети (предполагается, что список использующихся процессов составлен).
5) Изменения на шлюзовых машинах (ISA, Linux).
6) Использование в сети снифферов, vpn-туннелей и т.п.

Может кто частично решал подобные задачи? С какими подводными камнями столкнулись? Например, изменения в AD можно контролировать через встроенный аудит, но во-первых, как организовать уведомления о важных изменениях, а во-вторых, какие события вообще отслеживать? Я как-то включал аудит AD, там журналы ТАК росли, что не то что реагировать, просто просматривать события нереально.