我正在处理已转换为系统日志消息的活动目录日志,例如:
4662 Microsoft-Windows-Security-Auditing 无 失败 审核 domain.com 目录服务 >访问 对对象执行了操作。 主题: 安全 ID:testuser$ >帐户名称:testuser1$ 帐户域:NET 登录 ID:0x16c1f04444 对象: >对象服务器:DS 对象类型:%{bf967aba-0de6-11d0-a285-00aa003049e2} 对象名称:>%{e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}
我们正在 Active Directory 中生成与用户在目录中打印到打印机相对应的事件。我认为日志样本与该事件相对应,但我无法解释对象名称
我的问题是,当对象类型和对象名称的格式类似于%{bf967aba-0de6-11d0-a285-00aa003049e2}
和 时,您如何解释活动目录中的日志消息%{e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}
?这是一种具有更标准命名约定的对象名称的哈希映射吗?
答案1
根据[MS-ADSC]:Active Directory 架构类(http://download.microsoft.com/download/a/e/6/ae6e4142-aa58-45c6-8dcf-a657e5900cd3/%5BMS-ADSC%5D.pdf),它们是 Active Directory 架构类 ID:
- bf967aba-0de6-11d0-a285-00aa003049e2 - 用户
- e0fa1e8c-9b45-11d0-afdd-00c04fd930c9 - dnsNode