Идентификатор события Windows 6011

Есть несколько способов выполнить этот аудит - во-первых, более трудоемкий способ получить актуальную информацию за две недели:

• Из своего основного контроллера домена экспортируйте всех пользователей и компьютеры AD с помощью инструмента csved на сервере Windows. Соответствующий синтаксис команды: csved -f ADfilename.csv -r objectClass=user и импортируйте экспортированный CSV-файл в файл Excel с данными фильтрации по столбцам (Примечание: при импорте установите разделитель на запятые и табуляции, чтобы получить соответствующие заголовки перед фильтрацией).
• Аналогичным образом импортируйте файл журнала PDC из \ Windows \ Debug \ netsetup.log во вторую электронную таблицу с теми же параметрами, что и выше. С этого момента вы можете сравнивать две таблицы (file1.csv -> file2.csv), а также фильтровать соответствующие данные. Это очень легко сделать с помощью OpenOffice Calc.

Пример данных о событии - с фильтрацией по дате / времени и т. Д.

• При выполнении сравнения вы можете проверить наличие соответствующих событий из фактического журнала сервера и текущего списка компьютеров и пользователей AD. Согласно вашему запросу, сосредоточьтесь на событиях NETLOGON (id 5719) для доступности / недоступности домена для каждого компьютера и событиях NetBIOS (id 6011) для изменений в имени домена для каждого пользователя.

НОТА: Эта часть может занять некоторое время, поскольку вам нужно найти и отфильтровать все соответствующие события при сравнении и повторном слиянии, чтобы найти все изменения в изменениях имени NetBIOS.

После этого вы можете использовать следующие программы / примеры сценариев для долгосрочного мониторинга событий вашего сервера AD и / или корпоративных компьютеров:

• Использование Powershell для создания постоянного потребителя событий на вашем сервере для отслеживания изменений в соответствующих сервисах. Это интересная статья для создания сценариев-потребителей событий WMI, которые можно использовать непосредственно на вашем сервере. Согласно блогу Microsoft:

Есть две интересные вещи в создании постоянных потребителей событий с помощью скрипта. Во-первых, это легко сделать удаленно. Таким образом, я могу настроить сценарий на несколько машин и создать на удаленных машинах потребителя событий. Вторая крутая вещь - это то, что постоянные потребители событий крутые. Они отслеживают события и реагируют на них без необходимости запуска сценария. Поговорим о чем-нибудь крутом! Я запускаю один скрипт один раз, и тогда мой компьютер всегда будет искать событие и реагировать на него.

• Используйте сторонние инструменты, такие как SolarWinds WMI Monitor, для просмотра статусов запущенных событий на вашем контроллере домена. Установите мониторинг для следующих классов пространства имен WMI: Win32_NTDomain, Win32_LogonSession, Win32_ComputerSystem

Более подробную информацию о классах WMI NetBIOS можно найти Вот.

Вы хотите подписка, инициированная источником. Это включает в себя объект групповой политики для указания целевых компьютеров на сборщик и настройку служб сборщика событий на сборщике. Как только вы начнете получать события, вы можете фильтровать их по нужным вам событиям.

Я бы использовал свой сценарий для этой задачи.

https://gallery.technet.microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb3723

По сути, он будет искать всю информацию за последние X дней и помещать ее в представление HTML5 / CSS3.

Вы можете запускать его как задачу ежедневно, например

Вы можете получить часть когда, посмотрев на C:\Windows\Debug\netsetup.log Этот журнал показывает присоединение к домену, отключение и переименование.

Событие 6011 не сообщает кто часть. Это событие записывается только при перезагрузке после переименования. И если вы не сохраняете события из целевых объектов в долгосрочном архиве с помощью чего-то вроде Splunk, эти события могут больше не отображаться в отдельных журналах целевых событий. Если вы собираете события, выполните тестовое переименование и посмотрите, не записано ли другое событие после переименования с вашим идентификатором пользователя перед перезагрузкой.