服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows活动目录日志
Intereting Posts
validationHyper-V上的多pathI / O(具有Hyper-Vangular色的非核心,企业主机) 不同的主体在实例configuration文件中 shell脚本在crontab中,并不是所有的输出都被logging下来 在不同的机器上有fail2ban客户端和服务器 Vista部署:“BOOTMGR丢失” 通过networking优化Windows文件访问 我可以在Galera集群中设置一个节点,将日志发送到单独的从站 MOTD debian – 这个更新是否改变了? 如何找出正在运行的进程正在写入的日志文件名? 如何使用Collectd curl插件创buildPOST请求? 大量的Apache进程正在使用我的CPU使用率始终超过70% L2 Switch:帧转发 使用监视来监视进程 Cisco ASA 5505端口转发规则,以启用OpenVPN和WWW EC2上的自动缩放设置

Windows活动目录日志

我试图从我的用户帐户login所有失败和成功的login审计目的(只有用户名和时间)。 有没有办法,我可以做到这一点与我的Windows活动目录

首先,确保审计已启用。 如何在Active Directory中启用审核失败日志?

接下来,使用安全事件日志,筛选帐户login事件。 (您可以从4624(login)和(4625(login失败))开始

查看https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=1和https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=2 ,找出哪些事件对于您要为您的组织完成的审计非常有用。

您必须过滤掉服务帐户等,或只是在您的用户帐户中进行筛选。 如果您编写自定义XMLfilter,则可以在事件查看器中执行此操作。

如果您正在专门查看交互式login,则事件4624/4625具有“logintypes”作为字段,您需要筛选types2:交互式login。 如果你从DC收集,可能是types3:networkinglogin。 (我离开办公室,其他人请确认,在阅读Windows域控制器身份validationlogin日志和取证后,我正在失去理智)

有关如何执行此操作,请参阅https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/