Windows 事件 ID 6011

Question 1

您可以通过几种方式执行此审核 - 首先是获取相关两周信息的更耗时的方法来：

从您的 PDC，使用 Windows Server Csved 工具导出所有 AD 用户和计算机。相应的命令语法是csved -f ADfilename.csv -r objectClass=user并将导出的 csv 导入到 excel 文件，并按列过滤数据（注意：导入时将分隔符设置为逗号和制表符，以便在过滤之前获得适当的标题）。
同样，使用与上述相同的选项将 PDC 日志文件从 \Windows\Debug\netsetup.log 导入到第二个电子表格中。从那里，您可以对两个电子表格进行比较（file1.csv -> file2.csv），还可以过滤相应的数据。使用 OpenOffice Calc 可以轻松完成此操作。

执行比较时，您可以从实际服务器日志和当前 AD 计算机和用户列表中检查相应的事件。根据您的要求，重点关注每台计算机的域可用性/不可用性的 NETLOGON 事件 (id 5719) 和每个用户的域名更改的 NetBIOS 事件 (id 6011)。

笔记：这部分可能需要一段时间，因为您需要搜索和过滤所有相应的事件，同时比较和重新合并以找到 NetBIOS 名称更改中的所有更改。

完成后，您可以使用以下程序/脚本示例对您的 AD 服务器事件和/或公司计算机进行长期监控：

使用 Powershell 创建永久事件消费者在您的服务器上监控相关服务的变化。这是一篇关于创建可直接在您的服务器上使用的脚本化 WMI 事件消费者的有趣文章。根据 Microsoft 博客：

通过脚本创建永久事件消费者有两个很酷的地方。首先，它可以轻松地远程执行。因此，我可以用脚本定位多台机器，并在远程机器上创建事件消费者。第二个很酷的地方是永久事件消费者很酷。它们监视并响应事件，而无需运行脚本。说说很酷的事情！我一次运行一个脚本，然后我的计算机将始终查找事件并对其做出响应。

使用第三方工具（例如 SolarWinds WMI Monitor）查看域控制器上的正在运行的事件状态。设置以下 WMI 命名空间类的监控： Win32_NTDomain、Win32_LogonSession、Win32_ComputerSystem

找到有关 WMI NetBIOS 类别的更多信息这里。

Answer

您可以通过几种方式执行此审核 - 首先是获取相关两周信息的更耗时的方法来：

从您的 PDC，使用 Windows Server Csved 工具导出所有 AD 用户和计算机。相应的命令语法是csved -f ADfilename.csv -r objectClass=user并将导出的 csv 导入到 excel 文件，并按列过滤数据（注意：导入时将分隔符设置为逗号和制表符，以便在过滤之前获得适当的标题）。
同样，使用与上述相同的选项将 PDC 日志文件从 \Windows\Debug\netsetup.log 导入到第二个电子表格中。从那里，您可以对两个电子表格进行比较（file1.csv -> file2.csv），还可以过滤相应的数据。使用 OpenOffice Calc 可以轻松完成此操作。

执行比较时，您可以从实际服务器日志和当前 AD 计算机和用户列表中检查相应的事件。根据您的要求，重点关注每台计算机的域可用性/不可用性的 NETLOGON 事件 (id 5719) 和每个用户的域名更改的 NetBIOS 事件 (id 6011)。

笔记：这部分可能需要一段时间，因为您需要搜索和过滤所有相应的事件，同时比较和重新合并以找到 NetBIOS 名称更改中的所有更改。

完成后，您可以使用以下程序/脚本示例对您的 AD 服务器事件和/或公司计算机进行长期监控：

使用 Powershell 创建永久事件消费者在您的服务器上监控相关服务的变化。这是一篇关于创建可直接在您的服务器上使用的脚本化 WMI 事件消费者的有趣文章。根据 Microsoft 博客：

通过脚本创建永久事件消费者有两个很酷的地方。首先，它可以轻松地远程执行。因此，我可以用脚本定位多台机器，并在远程机器上创建事件消费者。第二个很酷的地方是永久事件消费者很酷。它们监视并响应事件，而无需运行脚本。说说很酷的事情！我一次运行一个脚本，然后我的计算机将始终查找事件并对其做出响应。

使用第三方工具（例如 SolarWinds WMI Monitor）查看域控制器上的正在运行的事件状态。设置以下 WMI 命名空间类的监控： Win32_NTDomain、Win32_LogonSession、Win32_ComputerSystem

找到有关 WMI NetBIOS 类别的更多信息这里。

Question 2

你想要的是源发起订阅。这涉及一个 GPO，用于将目标计算机指向收集器并在收集器上配置事件收集器服务。一旦开始接收事件，您就可以过滤到所需的特定事件。

Answer

你想要的是源发起订阅。这涉及一个 GPO，用于将目标计算机指向收集器并在收集器上配置事件收集器服务。一旦开始接收事件，您就可以过滤到所需的特定事件。

Question 3

您可以通过查看C:\Windows\Debug\netsetup.log此日志显示域加入、脱离和重命名来获取时间部分。

6011 事件未报告 who 部分。该事件仅在重命名后重新启动时写入。除非您使用 Splunk 之类的工具主动将目标中的事件保留到长期存档中，否则这些事件可能不再出现在单个目标事件日志中。如果您正在收集事件，请进行测试重命名，并在重新启动之前查看在您使用用户 ID 重命名后是否有不同的事件写入。

Answer

您可以通过查看C:\Windows\Debug\netsetup.log此日志显示域加入、脱离和重命名来获取时间部分。

6011 事件未报告 who 部分。该事件仅在重命名后重新启动时写入。除非您使用 Splunk 之类的工具主动将目标中的事件保留到长期存档中，否则这些事件可能不再出现在单个目标事件日志中。如果您正在收集事件，请进行测试重命名，并在重新启动之前查看在您使用用户 ID 重命名后是否有不同的事件写入。

Question 4

我将使用我的脚本来完成这项任务。

基本上，它会查找过去 X 天内的所有信息并将其放入 HTML5/CSS3 视图中。

例如，您可以每天将其作为任务运行

Answer

我将使用我的脚本来完成这项任务。

基本上，它会查找过去 X 天内的所有信息并将其放入 HTML5/CSS3 视图中。

例如，您可以每天将其作为任务运行

相关内容