Отключить аудит определенных атрибутов ldap
Я работаю над некоторым аудитом для PCI-DSS, в частности "Аудит доступа к службе каталогов". Это создает огромный объем журналов, в основном на основе пары определенных повторяющихся свойств, доступ к которым осуществляется одним и тем же способом.
Я смог идентифицировать эти атрибуты через TechNet. Ни один из тех, с которыми у меня возникли проблемы, не отображается в пользовательском интерфейсе аудита в AD Users and Computers.
Думаю, можно отредактировать настройки схемы в adsiedit и отключить наследование? Это кажется нелогичным, но должно работать.
Вы хотите изменить атрибут searchFlags атрибута схемы, для которого необходимо отключить аудит.
Пошаговое руководство по аудиту AD DS
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
"Схема
«Чтобы избежать возможности генерации чрезмерного количества событий, в схеме есть дополнительный элемент управления, который можно использовать для создания исключений из того, что проверяется.
«Например, если вы хотите увидеть, какие значения изменились в результате всех, кроме нескольких, модификаций атрибутов в пользовательском объекте, вы можете установить флаг в схеме для атрибутов, которые вы не хотите проверять. Свойство searchFlags для каждый атрибут определяет поведение, например, индексируется ли атрибут или реплицируется в глобальный каталог.Свойство searchFlags имеет семь определенных в настоящее время битов.
«Если для атрибута установлен бит 8 (индексирование с нуля, значение 256), AD DS не будет регистрировать события изменений при внесении изменений в атрибут. Это относится ко всем объектам, содержащим этот атрибут».
