Я ищу метод для регистрации доступа ldap контроллера домена Active Directory. Я хочу иметь возможность регистрировать имя пользователя и доступ к исходному IP-адресу как к 389, так и к 636 (зашифрованный).
Простой захват пакетов даст мне исходный IP-адрес, но получить имя пользователя через ldaps будет невозможно, поэтому я надеюсь, что в Windows есть встроенная функция аудита / отладки / ведения журнала, которая предоставит мне эту информацию.
Журнал событий Windows Security отслеживает это, но извлечь из пожарного шланга непросто. Ключевые маркеры входа в систему LDAP:
Детали будут скрываться в этих элементах XML:
Если вы просматриваете объекты в виде декодированного текста, ключевыми маркерами являются:
Детали будут:
Ключевым моментом, который отличает эти события входа в систему от обычных событий входа в систему, является то, что привязки ldap фактически осуществляют вход в систему TO соответствующего контроллера домена. Поэтому заполняется поле «Имя рабочей станции».
Сложно сформулировать поиск, чтобы получить эти события.
Только для информации о порте,
netstat 1 -an | findstr ":389"
ИЛИ
netstat 1 -an | findstr ":636"
1 означает [<Интервал>]
Повторно отображает выбранную информацию каждые интервалы секунд. Нажмите CTRL + C, чтобы остановить повторное отображение. Если этот параметр опущен, netstat печатает выбранную информацию только один раз.
Я знаю старый вопрос, но взгляните на ADInsight: https://technet.microsoft.com/en-us/sysinternals/adinsight.aspx