Я работаю с журналами Active Directory, созданными в большой сети с сотнями серверов AD. У меня возникли проблемы с поиском примеров идентификаторов событий активного каталога в журналах для нескольких основных сетевых событий.
Каким идентификаторам событий Active Directory соответствуют
A) сетевой ресурс, такой как общий файл, который читается / удаляется / изменяется определенным именем хоста. Например, что-то вроде доступа user1 к таблице1.csv в общей папке z: // server1 / share1
Б) к сетевому серверу обратился конкретный пользователь. Например, пользователь1 вошел на финансовый сервер
Потому что их нет. Эти события не отображаются в журналах безопасности контроллера домена для каждого рядового сервера в вашем домене. Можете ли вы представить себе, насколько сумасшедшими будут журналы на ваших контроллерах домена, если каждый объект будет обращаться к везде в домен залогинился контроллер домена? Или, что еще хуже, реплицировать на все контроллеры домена?
Вы можете иметь аудит доступа к объектам на сервере, и доступ к объекту будет регистрироваться на этом сервере.
Оттуда вы могли бы сходить с ума от пересылка событий чтобы собрать все эти события с разных серверов в центральном месте, но я бы не рекомендовать его для каждого доступа к сети в вашем домене. Ограничьте это только самыми важными файлами.
Вы можете настроить аудит доступа к объектам в локальной политике безопасности на сервере или через групповую политику.