Existem algumas maneiras pelas quais você pode realizar essa auditoria. Primeiro, a maneira mais demorada de obter informações relevantes de duas semanas:
- No seu PDC, exporte todos os usuários e computadores do AD usando a ferramenta csved do Windows Server. A sintaxe de comando correspondente é
csved -f ADfilename.csv -r objectClass=usere importe o csv exportado para o arquivo excel com dados de filtragem por colunas (Nota: ao importar, defina o delimitador para vírgulas e tabulações para obter os títulos apropriados antes da filtragem). - Da mesma forma, importe o arquivo de log do PDC de \ Windows \ Debug \ netsetup.log para uma segunda planilha com as mesmas opções acima. A partir daí, você pode fazer uma comparação entre as duas planilhas (file1.csv - > file2.csv) e também filtrar os dados correspondentes. Isso pode ser feito facilmente com o OpenOffice Calc.
Exemplo de dados do evento - com filtragem por data / hora, etc.
- Ao realizar a comparação, você pode verificar os eventos correspondentes no registro real do servidor e na lista atual de computadores e usuários do AD. De acordo com sua solicitação, concentre-se nos eventos NETLOGON (id 5719) para disponibilidade de domínio / indisponibilidade por computador e eventos NetBIOS (id 6011) para alterações no nome de domínio por usuário.
OBSERVAÇÃO: Essa parte pode demorar um pouco, já que você precisa pesquisar e filtrar todos os eventos correspondentes ao comparar e reimplantar para localizar todas as alterações nas alterações de nome do NetBIOS.
Depois de fazer isso, você pode usar os seguintes programas / amostras de script para fazer um monitoramento a longo prazo de seus eventos do servidor AD e / ou computadores corporativos:
- Usando Powershell para criar um consumidor permanente de eventos em seu servidor para monitorar alterações em serviços relevantes. Este é um artigo interessante para criar consumidores de eventos WMI com script que podem ser usados diretamente em seu servidor. De acordo com o blog da Microsoft:
There are two cool things about creating permanent event consumers via script. The first thing is that it can easily be performed remotely. Therefore,, I can target a several machines with the script and create the event consumer on the remote machines. The second cool thing is the fact that permanent event consumers are cool. They monitor for and respond to events without the need for a script to be running. Talk about something cool! I run one script one time, and then my computer will always look for an event and respond to it.
- Use ferramentas de terceiros, como o SolarWinds WMI Monitor, para exibir os status dos eventos em execução no seu controlador de domínio. Defina o monitoramento para as seguintes classes de namespace do WMI: Win32_NTDomain, Win32_LogonSession, Win32_ComputerSystem
Mais informações sobre classes WMI NetBIOS são encontradas aqui