Log de acesso LDAP do diretório Active

6

Estou procurando um método para registrar o acesso ldap de um controlador de domínio do Active Directory. Eu quero ser capaz de registrar o nome de usuário e acesso de endereço IP de origem para ambos 389 e 636 (criptografado).

Uma simples captura de pacotes me daria o IP de origem, mas obter o nome de usuário não será possível em ldaps, então espero que haja algum recurso de auditoria / depuração / registro no Windows que me forneça essas informações. / p>     

por Zoredache 20.10.2010 / 21:27

3 respostas

6

O log de eventos do Windows Security rastreia isso, mas não é fácil extraí-lo da mangueira de incêndio. Os principais marcadores de um login LDAP:

  • ID do evento: 4624
  • SubjectUserSID: S-1-5-18

Os detalhes estarão ocultos nesses elementos XML:

  • TargetUserName
  • endereço_IP

Se você estiver visualizando as coisas na exibição de texto decodificada, os marcadores das teclas são:

  • ID do evento: 4624
  • Informações de rede - > Nome da Estação de Trabalho = nome do servidor LDAP

Os detalhes serão:

  • Informações de rede - > Endereço de rede de origem
  • Novo logon - > Nome da conta

A principal coisa que diferencia esses eventos de login dos eventos de login regulares é que os vínculos ldap estão entrando em vigor no TO domain controller em questão. É por isso que o campo "Nome da Estação de Trabalho" está preenchido.

Redigir a pesquisa para obter esses eventos será complicado.

    
por 20.10.2010 / 21:51
0

Pergunta antiga que conheço, mas dê uma olhada no ADInsight: link

    
por 13.12.2015 / 13:17
0

Apenas para informações de porta,

netstat 1 -an | findstr ":389"

OR

netstat 1 -an | findstr ":636"

1 means [< Interval >]

Redisplays the selected information every Interval seconds. Press CTRL+C to stop the redisplay. If this parameter is omitted, netstat prints the selected information only once.

    
por 04.09.2018 / 20:32