我正在寻找一种方法来loggingActive Directory域控制器的ldap访问。 我希望能够将用户名和源IP地址访问logging到389和636(encryption)。
一个简单的数据包捕获将获得我的源IP,但获取用户名将不可能在ldaps上,所以我希望Windows中有一些内置的审计/debugging/日志loggingfunction,将给我这个信息。
windows安全事件日志确实跟踪了这一点,但从stream水线中提取并不容易。 LDAPlogin的关键标记:
细节将在这些XML元素中潜伏:
如果您在解码的文本视图中查看内容,关键标记是:
细节将是:
将这些login事件与常规login事件区分开来的关键是ldap绑定实际上正在login到所讨论的域控制器中。 这就是填写“工作站名称”字段的原因。
expressionsearch以获得这些事件将certificate棘手。
老问题我知道,但看看ADInsight: https ://technet.microsoft.com/en-us/sysinternals/adinsight.aspx