我是一家企业内部软件开发小组的成员。我们被要求构建一个 Active Directory 管理 Web 应用程序。主要原因之一是需要为用户执行的操作(例如创建/删除对象、更新属性、添加/删除成员等)生成审计日志。
我最初的观点是,所有这些功能已经在很多工具中可用,例如活动目录用户和组管理单元,为什么不直接报告域控制器日志并称之为一天呢。
我的理解是域控制会将所有内容记录到事件日志中。由于条目数量众多,我们的日志的保留时间窗口为 2 天左右,而且由于记录的操作类型众多,获取我们想要的特定事件几乎就像大海捞针。
除了构建一个应用程序以便我们可以在其中包含我们自己的审计日志记录之外,我们是否可以在域控制器上使用配置或报告来使审计日志记录更加可用?
答案1
我发现微软的 LogParser非常适合从我的域控制器事件日志中检索审计日志。
我使用 LogParser 检索 Anton Chuvakin 的关键日志审查清单进入 SQL 数据库,然后从那里将数据处理为我需要的报告格式。您也可以使用 LogParser 直接对日志文件运行 SQL 查询,但由于您只保留两天的日志,除非您创建每日时间点报告,否则可能没那么有用。