我正在尝试收集 2016 域中的 DC 的登录/身份验证失败事件。
当用户在登录屏幕上登录失败时,我可以在域控制器的安全日志中看到 4625 个审核失败事件。
当我尝试以另一个用户身份运行应用程序但无法正确登录时,我在本地(桌面)事件日志中看到 4025,但在任何 DC 上都找不到相应的事件。
我同时查看了其他事件类型/日志,但可能错过了!但却看不到任何似乎与该活动相对应的内容。
有人能告诉我如何集中收集这些信息(从 DC)吗?
答案1
当用户无法使用域凭据登录工作站或服务器时,这通常会触发两种类型的事件:
- 源设备(用户连接的地方):通常会报告 ID 4625 和/或 4776
- 域控制器:不会报告与此登录尝试相关的任何事件 ID 4625。相反,它将报告与 TGT 票证相关的 Kerberos 事件 ID 4771 或 4768。还可能报告 ID 4776,具体取决于所使用的身份验证协议(NTLM 或 Kerberos)。但是,请注意,如果您无法在域控制器上登录,则 ID 4625 和相关的 Kerberos ID 将在同一设备上报告,因为源和目标是相同的。
因此,为了查看 DC 上的失败尝试,请使用 GPO 启用 DC 上的成功和失败 Kerberos 审计功能。可以找到一些帮助这里。那么我建议您设置一个 Windows 事件收集器服务器 (来源) 将所有事件集中起来,然后将其转发到您的 SIEM(ELK、Splunk、ArcSight 等)。