我正在使用数百个AD服务器在大型networking上生成的活动目录日志。 我无法find几个基本networking事件的日志中的活动目录事件ID的例子。
什么活动目录事件ID对应于
A)networking资源,例如正在被特定主机名读取/删除/修改的共享文件。 例如,像共享文件夹z:// server1 / share1上的user1访问spreadsheet1.csv
B)networking服务器已被特定用户访问。 例如user1login到财务服务器
那是因为没有。 这些事件不会显示在您的域中每个成员服务器的域控制器安全日志中。 你能想象一下,如果每个访问域的任何对象都被一个域控制器logging下来,你的数据中心上的日志会有多疯狂? 或者更糟的是,复制到所有的域控制器?
您可以在服务器上进行对象访问审核 ,并且将在该服务器上logging对象访问。
从那里,你可以疯狂的事件转发从不同的服务器的所有这些事件到一个中央位置,但我不会推荐它为您的域上的每一个单一的networking访问。 将其限制为只有最敏感的文件。
您可以在服务器上的“本地安全策略”中或通过“组策略”设置对象访问审核。