IDs de eventos do Active Directory correspondentes ao acesso remoto a arquivos

2

Estou trabalhando com logs de diretório ativos gerados em uma grande rede com centenas de servidores do AD. Estou tendo problemas para encontrar exemplos de IDs de eventos de diretórios ativos nos logs de alguns eventos de rede básicos.

What active directory event IDs correspond to

A) a network resource like a shared file being read/deleted/modified by a specific hostname. For example is something like user1 access spreadsheet1.csv on shared folder z://server1/share1

B) a network server has been accessed by a specific user. For example user1 logged into finance-server

    
por user7980 07.01.2013 / 20:38

1 resposta

5

Isso porque não há nenhum. Esses eventos não aparecem em seus logs de Segurança do Controlador de Domínio para cada servidor membro em seu domínio. Você poderia imaginar o quanto os logs ficariam loucos em seus DCs se cada objeto acessasse em qualquer lugar no domínio fosse registrado por um controlador de domínio? Ou, pior ainda, replicado para todos os controladores de domínio?

Você pode ter auditoria de acesso a objetos em um servidor , e o acesso a objetos será registrado nesse servidor.

De lá, você pode ficar louco com encaminhamento de eventos para obter todos esses eventos dos diferentes servidores em um local central, mas não o recomendaria para cada acesso à rede em seu domínio. Limite-o apenas aos arquivos mais confidenciais.

Você pode definir a auditoria de acesso a objetos na Diretiva de segurança local no servidor ou por meio da Diretiva de Grupo.

    
por 07.01.2013 / 21:00