Я пытаюсь регистрировать все неудачные и успешные входы из моих учетных записей пользователей в целях аудита (только имя пользователя и время). Есть ли способ сделать это с помощью активного каталога Windows?
Во-первых, убедитесь, что аудит включен. Как включить журналы ошибок аудита в Active Directory?
Затем используйте журнал событий безопасности, отфильтруйте события входа в учетную запись. (Вы можете начать с 4624 (вход в систему) и (4625 (ошибка входа))
Проверять, выписываться https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=1 и https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=2 чтобы выяснить, какие события полезны для аудита, который вы пытаетесь выполнить для своей организации.
Вам придется отфильтровать учетные записи служб и т. Д. Или просто отфильтровать свои учетные записи пользователей. Вы можете сделать это в средстве просмотра событий, если напишете собственный XML-фильтр.
Если вы ищете специально для интерактивного входа в систему, событие 4624/4625 имеет поле «тип входа», вам нужно отфильтровать тип 2: интерактивный вход. Это может быть тип 3: вход в сеть, если вы собираете данные с DC. (Меня нет в офисе, кто-нибудь еще, пожалуйста, подтвердите, я теряю рассудок после прочтения Ведение журнала и криминалистическая экспертиза проверки подлинности контроллера домена Windows)
Видеть https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/ о том, как это сделать.