我是企业内部软件开发小组的一员。 我们被要求build立一个Active Directorypipe理Web应用程序。 主要原因之一是需要为用户执行的操作生成审计日志,如创build/删除对象,更新属性,添加/删除成员等。
我最初的立场是,所有这些function已经可以在许多工具中使用,例如活动目录用户和组pipe理单元,为什么不只是报告域控制器日志并且每天都会调用它。
我的理解是,域控制将所有内容logging到事件日志中。 由于条目数量的限制,我们的日志拥有2天左右的保留时间窗口,而且由于logging的操作types繁多,所以我们需要的具体事件就像在大海捞针一样。
我们可以在域控制器上使用configuration或报告function,使审计日志更加有用,而不是仅仅构build一个应用程序,以便我们可以包含自己的审计日志logging。
我发现Microsoft的LogParser可以很好地从我的域控制器事件日志中检索审计日志logging。
我使用LogParser从Anton Chuvakin的关键日志检查清单中检索事件到一个SQL数据库中,从那里可以把数据处理成我需要报告的格式。 您还可以使用LogParser直接针对日志文件运行SQL查询,但是除非您创build的日常时间点报告可能不那么有用,否则您只能将日志保留两天。