Я являюсь частью внутренней группы разработки программного обеспечения для предприятия. Нас просят создать веб-приложение для управления Active Directory. Одной из основных причин является необходимость создания журналов аудита для операций, выполняемых пользователями, таких как создание / удаление объектов, обновление атрибутов, добавление / удаление участников и т. Д.
Моя исходная позиция заключается в том, что вся эта функциональность уже доступна во многих инструментах, таких как оснастка пользователей и групп Active Directory, почему бы просто не составить отчет в журналах контроллера домена и не завершить его.
Насколько я понимаю, элемент управления доменом регистрирует все в журнале событий. Из-за количества записей наши журналы имеют окно хранения около двух дней, а из-за большого количества регистрируемых операций получение нужных нам событий почти похоже на поиск иголки в стоге сена.
Вместо того, чтобы создавать приложение только для того, чтобы мы могли включить в него наш собственный журнал аудита, есть ли конфигурация или отчеты, которые мы можем использовать на контроллере домена, чтобы сделать журнал аудита более удобным?
Я нахожу это LogParser от Microsoft хорошо работает для получения журнала аудита из журналов событий контроллеров домена.
Я использую LogParser для получения событий от Антона Чувакина. Контрольный список критического обзора журнала в базу данных SQL, и оттуда могу преобразовывать данные в формат, который мне нужен для отчетности. Вы также можете использовать LogParser для запуска SQL-запросов непосредственно к файлам журнала, но поскольку вы храните журналы только в течение двух дней, если вы не создаете ежедневные отчеты на определенный момент времени, которые могут быть не так полезны.