我有问题在服务器上configuration审核,以捕捉失败和成功的networkinglogin。 今天早上,我们在locking的屏幕上发现了一个奇怪的login的testing机器。 绝对不是我们的域上存在的用户。 看到这个的用户必须重新启动机器才能login。之后我才发现自己无法看到locking的屏幕。 我被要求进行调查,但是我在受影响的客户端和域控制器上发现的都是非常含糊的日志条目: 客户端事件查看器 TerminalServices-RemoteConnectionManager日志: Listener RDP-Tcp收到连接 安全日志: 没有条目 从那以后,我做了一些改变。 在域控制器策略上,我已启用审核帐户login事件和审核login事件。 资源 另外,我还启用了Active Directory更改事件的相同主题的进一步指南 这是我现在在安全日志中检查DC中的事件查看器时的位置: 审计失败,其中包含帐户名称和时间。 事件ID:4771,失败代码0x18,预authenticationtypes:2。 基于这个来源,我可以看到这是因为密码错误。 但是并不是说从哪里login,哪个远程机器。 如果我提供了正确的密码,它将创build事件ID 4768,说Kerberos身份validation票据被请求,没有结果代码。 以下关于成功login的条目中没有任 我怎样才能将这些logging到我的日志中,以便我能够追踪这个问题,以便将来再次发生? 总而言之,我需要查看networking上所有尝试成功和失败的login尝试。 希望我能够将这些日志缩小到目标IP地址,只显示涉及怀疑被攻破的机器的日志。 这可能没有任何额外的工具/软件?
在审核loginnetworking时遇到问题。 我正在寻找事件4740,但日志不显示它们。 无论是在本地机器上。 我已经validation帐户pipe理审计已启用,并设置为成功和失败 ,我已经检查帐户lockinglogin/注销策略成功 。 我已经在域计算机上testing了该帐户,并且计算机上的日志显示该帐户失败,但从不logging该帐户被locking。 当我检查域控制器时,它显示帐户login失败,但显示NULL SID 。 即使那样它也不显示locking事件。 无论如何,要弄清楚为什么它不logginglocking事件与它启用这样做?
我有几个窗口文件服务器,但我正在慢慢改变到Freenas / ZFS框,这是更好的工作,但我不知道如何审核当人们改变关键文件夹的权限。 在Windows上,我通过组策略启用对象级审计,然后select我想要审计的文件夹,并在审计选项卡下select“每个人”和“更改权限”。 Freenas框中的CIFS共享都是windows权限,我可以在powershell中查询它们并编写一些花哨的脚本,或者使用相当昂贵的程序给我报告..但是我想要的是在这些更改时立即通知。 目前对于Windows Box,我有Splunk监控EventID 4760事件日志,它给了我一个不错的打印输出..我只是想镜像这些远程CIFS股份的function。 我已经尝试了vfs_full_audit和各种方式来通过权限的Freenas日志,但这似乎是一个死胡同。
在Red Hat Linux上,我可以使用这个命令指定我想要logging审计日志的文件: auditctl -a exit,always -F path=/tmp/foo.txt -F perm=war 我无法弄清楚如何在FreeBSD上做类似的事情。 我发现为文件logging审计日志的唯一方法是将fr标志添加到我的/etc/security/audit_control文件中 。 不幸的是,这种方式不允许我指定文件。 更新1: 我在trustedbsd-discuss邮件列表上询问了这个问题。 您可以在这里查看电子邮件 。 我还没有收到任何答复。
我的networking的两个域控制器的安全日志被安全事件id 4624和4634以及更小程度的4672洪泛。从互联网上读取这样的行为是相当普遍的,并不一定意味着潜在的问题/问题。 然而,这样的洪水破坏了一个日志的用处:太多的信息,没有信息。 我想对Windows Server说:不要将事件ID 4624和4634写入安全日志,而是将其写入新的日志文件,仅用于这些事件。 这样我就不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。 这可能吗? 这是可取的吗? 谢谢, 迭戈
嗨,大家好,我需要在我的NFS服务器(Windows 2012 R2)上使用命令行设置两个审计选项,如下所示: nfsadmin server config audit = +mount audit= +locking 我很确定这是正确的语法,但nfsadmin命令行工具认为不同: Invalid option argument. Usage : nfsadmin [server | client | mapping ] [\\host] For detailed help type nfsadmin [server|client|mapping] /? 这是一个问题,因为看起来像微软在最新的操作系统中更改nfsadmin的语法,但忘记了更新指南。 所以,也许存在另一种方式来改变这个设置,而不是使用GUI当然。
我试图将运行在CentOS上的rsyslog的审计跟踪发送到使用TLS的FreeBSD上的auditdistd。 auditdistd既可以是发送者也可以是接收者。 我想欺骗auditdistd认为rsyslog是在另一台机器上运行的auditdistd。 问题是,auditdistd要求连接客户端有一个证书的公钥生成指纹 openssl x509 -in /etc/security/auditdistd.cert.pem -noout -fingerprint -sha256 | \ awk -F '[ =]' '{printf("%s=%s\n", $1, $3)}' 和一个密码。 我找不到任何rsyslog文档解释如何提供指纹和密码到rsyslog发件人。 这甚至有可能吗? 我怎样才能做到这一点? 有关 auditdistd及其configuration介绍
我已经在RHEL6服务器上configuration了Auditd,并使用了TTY日志logging pam_tty_audit.so enable=* 在/etc/pam.d/system-auth和/etc/pam.d/password-auth中 我没有在audit.rules文件中configuration任何其他规则,因为我感兴趣的只是logging由用户执行的命令,而不是跟踪所有过程活动 我能够在本地服务器上查看本地用户执行的命令。 但是,如果用户正在使用SSH从其他服务器远程执行命令,如 ssh userid@<rhel server> date 这些命令没有logging在审计日志..有什么办法可以logging这些?
所以我已经为pipe理员邮箱和另一个testuser启用了MailboxAuditLogging。 如果我在OWA中进行更改,事件被logging在审计日志中。 但是,在Outlook中进行的任何更改(例如文件夹删除/创build)都不会被logging。 以下是其中一个用户的审计configuration: AuditEnabled : True AuditLogAgeLimit : 90.00:00:00 AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create} AuditDelegate : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create} AuditOwner : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, Create} 更新:经过多一点testing,我现在从Outlook(SoftDelete)得到一个AuditlogEntry,但其他MoveToDeletedItems条目仍然不会创build时删除Outlook中的文件夹。 我通过邮箱中的审计文件夹的大小来检查创build。
在隔夜系统状态备份过程中,我们在文件夹c:\ windows \ servicing,system32和其他windows文件夹中看到成千上万的成功审计事件(4656,4658)。 我们使用文件成功审计一些文件,所以我不能禁用它,但这洪水填满了日志,使报告棘手。 更改Windows文件夹上的审核设置有什么危害? 对于那些进行系统状态备份的用户,build议使用哪些文件? 谢谢,