我正在尝试记录用户帐户的所有失败和成功登录,以供审计之用(仅用户名和时间)。有没有办法使用我的 Windows 活动目录来做到这一点?
答案1
首先,确保已启用审计。如何在 Active Directory 中启用审核失败日志?
接下来,使用安全事件日志,过滤帐户登录事件。(您可以从 4624(登录)和(4625(登录失败))开始
查看https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=1和https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx?catid=2弄清楚哪些事件对于您要为组织完成的审计有用。
您必须过滤掉服务帐户等,或者只过滤用户帐户。如果您编写了自定义 XML 过滤器,则可以在事件查看器中执行此操作。
如果您专门寻找交互式登录,事件 4624/4625 有“登录类型”字段,您需要过滤类型 2:交互式登录。如果您从 DC 收集,则可能是类型 3:网络登录。(我不在办公室,请其他人验证,读完后我失去了理智Windows 域控制器身份验证登录日志记录和取证)