Я вижу много событий ID 4624 (тип входа 3) на контроллере домена (Windows Server 2012), и мне интересно, что эти события хотят сказать мне.
Я читал, что события 4624 типа 3 на контроллере домена говорят о том, что произошел сетевой вход в домен AD, но я не понимаю, что означает исходный сетевой адрес. Это источник входа в систему или цель, в которую пользователь хочет войти?
Проверка записей PTR и привязка сайта к подсети
Если вы хотите видеть сетевой адрес в журнале событий, вы можете исправить две вещи.
1. На DNS-сервере убедитесь, что у вас есть зона обратного просмотра. Если нет, создайте его с сетевым адресом подсети вашего хоста.
2. Откройте сайты и службы Active Directory. Разверните "Сайты> Подсети". Убедитесь, что подсеть создана с сетевым адресом CIDR для подсети и что она привязана к сайту, который существует в этой подсети (той, в которой находится ваш DC).
3. На контроллере домена откройте командную строку администратора и введите ipconfig / registerdns.
Теперь вы должны увидеть, что запись PTR для вашего DC - это новая зона обратного просмотра DNS. Если у вас есть дополнительные подсети с хостами, создайте зоны обратного просмотра для этих хостов.
Информационное событие «ID 4624 Events (Logon Type 3)» теперь должно отображать подсеть. Событие типа 3 - это когда клиент обращается к общим ресурсам netlogon и / или sysvol для сценариев входа в систему или перечисления групповой политики и приложения.
Исходным сетевым адресом может быть адрес, с которого исходил запрос, но это может быть локальный хост или средство, с помощью которого исходная информация не включается.
Возможно, вы уже сталкивались с этим, но следующее включает много деталей, а также некоторые полезные подходы к аудиту:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
надеюсь, это поможет