我正在尝试启用 AD 审计集成,但收到错误“Windows 事件未被记录”
我已经在指向它的域控制器上安装了代理,并且我可以看到 winlogbeats 日志正常进入。
答案1
需要启用目录服务变更审核。
使用以下命令:
获取当前审核设置:
auditpol /get /category:*
确认高级审计已启用:
reg query HKLM\System\CurrentControlSet\Control\LSA /v SCENoApplyLegacyAuditPolicy
启用目录服务变更审核:
AD 审计配置
https://docs.utmstack.com/books/ad-auditor/page/ad-audit
请注意,还需要在 AD 对象本身上启用审核。这通常意味着在对象层次结构的根目录下添加系统访问控制列表 (SACL),指定对修改和删除进行审核。这些应添加到 AD 用户和计算机 (dsa.msc) 中的域根目录,以及 AD 站点和服务 (dssite.msc) 中的站点配置容器根目录。
如果所有配置都正确,安全事件日志中应该会有大量更改事件(事件 ID 5136),因为对象在正常运行期间经常更改。您还可以测试对象的创建/删除以分别创建 5137 和 5141 事件。