与远程文件访问相对应的 Active Directory 事件 ID

与远程文件访问相对应的 Active Directory 事件 ID

我正在处理由数百台 AD 服务器组成的大型网络生成的 Active Directory 日志。我无法在日志中找到几个基本网络事件的 Active Directory 事件 ID 示例。

活动目录事件 ID 对应什么

A) 网络资源(如共享文件)被特定主机名读取/删除/修改。例如,user1 访问共享文件夹 z://server1/share1 上的电子表格 1.csv

B) 特定用户已访问网络服务器。例如,user1 登录到 finance-server

答案1

那是因为没有。这些事件不会出现在您域中每个成员服务器的域控制器安全日志中。您能想象如果每个对象访问都发生,您的 DC 上的日志会有多疯狂吗?任何地方域上的日志是否由域控制器记录?或者更糟的是,是否复制到所有域控制器?

你可以有对象访问审计在服务器上,对象访问将被记录在该服务器上。

从那里你可以疯狂地事件转发将来自不同服务器的所有事件集中到一个中心位置,但我会不是建议将其用于域中的每个网络访问。将其限制为仅访问最敏感的文件。

您可以在服务器上的本地安全策略或通过组策略设置对象访问审核。

相关内容