我正在处理已经转换为syslog消息的活动目录日志,例如:
4662 Microsoft-Windows-Security-审计无失败审计domain.com目录服务>访问在对象上执行操作。 主题:安全ID:testuser $>帐户名称:testuser1 $帐户域:NETloginID:0x16c1f04444对象:>对象服务器:DS对象types:%{bf967aba-0de6-11d0-a285-00aa003049e2}对象名称:>%{e0fa1e8c -9b45-11d0-AFDD-00c04fd930c9}
我们在活动目录中生成与打印到目录中的打印机的用户相对应的事件。 我正在考虑日志样本对应的事件,但我还没有能够解释ojbect的名字
我的问题是,当对象types和对象名称的格式如%{bf967aba-0de6-11d0-a285-00aa003049e2}和%{e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}时,如何解释活动目录中的日志消息? 这是一种散列映射到具有更标准命名约定的对象名称?
根据[MS-ADSC]:Active Directory架构类 ( http://download.microsoft.com/download/a/e/6/ae6e4142-aa58-45c6-8dcf-a657e5900cd3/%5BMS-ADSC%5D.pdf ) ,它们是Active Directory架构类ID: