我最近发现,我们所有的域控制器都不再将 AD 帐户登录事件(Outlook Web App 登录 - SharePoint 登录)记录到安全日志中。但它适用于 RDP。
我如何跟踪域控制器中的所有用户登录活动?
答案1
您需要检查审计日志是否被禁用。 您可以通过打开“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应策略来配置此安全设置。
审核登录事件 (Windows 10) - Windows 安全 | Microsoft Docs
您还可以尝试关闭凭据验证并打开帐户登录事件。
答案2
很抱歉。根据我的研究,DC 不会在事件查看器中记录 OWA 登录事件。
但是您可以通过检查路径 C:\inetpub\logs\LogFiles\W3SVC1 下的 IIS 日志来查看它。通过 Excel 打开日志并使用过滤器获取 OWA 登录事件。
您还可以使用该工具来检查 owa 登录事件。Log Parser Studio 2.0 现已推出 - Microsoft Tech Community