Die Protokollierung bestimmter Systemereignisse ist Voraussetzung für die Überwachung der Sicherheit eines Unternehmensumfelds. In Windows XP und Server 2003 stand dafür bereits bisher eine Konfigurationsmöglichkeit mit Gruppenrichtlinien bereit, siehe weiter vorn in diesem Kapitel den Abschnitt „Überwachungsrichtlinien“. Mit Windows Vista wurde die Überwachung wesentlich erweitert. Gab es vorher lediglich 9 Kategorien von Ereignissen, so wurden diese Hauptkategorien jetzt um Unterkategorien erweitert. Insgesamt stehen damit 56 Unterkategorien von Ereignissen zur Verfügung, für die die Überwachung konfiguriert werden kann.