0
應該啓用哪些審計設置才能看到AD登錄用戶的IP地址?EventLog審計AD獲取用戶IP
A
回答
0
在任何域服務器,在事件日誌中,你可以找到你要的
這裏的信息是用戶登錄事件的「4624」提取和註銷事件「4634」就可以使愨的關係由名爲TargetLogonId的數據發生的事件。 IP地址位於名爲IpAdress的數據中。
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T11:09:52.930000000Z" />
<EventRecordID>33354</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="3244" />
<Channel>Security</Channel>
<Computer>WM2008R2ENT.dom.fr</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-314535540-1235592268-145203568-1000</Data>
<Data Name="TargetUserName">WM2008R2ENT2$</Data>
<Data Name="TargetDomainName">MOD</Data>
<Data Name="TargetLogonId">0x6ded7f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{7B3D7A34-80A9-F1B2-CCF1-7F783ED88C28}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.183.101</Data>
<Data Name="IpPort">51243</Data>
</EventData>
</Event>
下面是一個用戶註銷事件的「4634」提取
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T11:10:03.070625000Z" />
<EventRecordID>33355</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="3244" />
<Channel>Security</Channel>
<Computer>WM2008R2ENT.dom.fr</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserSid">S-1-5-21-314535540-1235592268-145203568-1000</Data>
<Data Name="TargetUserName">WM2008R2ENT2$</Data>
<Data Name="TargetDomainName">MOD</Data>
<Data Name="TargetLogonId">0x6ded7f</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>
相關問題
- 1. AD從用戶名登錄用戶IP
- 2. cURL'd時獲取用戶IP?
- 3. flex air app - 獲取用戶的AD域
- 4. 從AD組獲取用戶列表
- 5. NHIbernate:映射審計用戶
- 6. 從get-eventlog獲取值Powershell調用
- 7. 使用Microsoft Graph Explorer獲取AD用戶並獲取Delta更改
- 8. DARTlang獲取客戶端IP
- 9. 活動目錄 - 用戶獲取計算機IP SID
- 10. 獲取用戶計算機的IP地址
- 11. 如何在Asp.Net中爲用戶獲取AD用戶組?
- 12. 通過asp.net獲取AD賬戶
- 13. 獲取用戶的IP地址
- 14. 使用python獲取客戶端ip
- 15. 獲取網絡用戶的IP地址
- 16. 通過代理獲取用戶IP。
- 17. 獲取用戶ip點擊頁面
- 18. asp classic獲取用戶IP登錄時
- 19. 無法在PowerShell中獲取ComputerName Get-Eventlog
- 20. 在ad hoc網絡中獲取其他IP地址
- 21. 將用戶名添加到審計表
- 22. Hibernate envers添加審計列(用戶名)
- 23. 如何使用Rails獲取客戶端IP和服務器IP
- 24. 獲取客戶端的IP地址和計算機名稱?
- 25. 如何使用用戶IP地址獲取用戶位置?
- 26. 使用PowerShell通過AD獲取用戶名
- 27. C#:在ProxyPass後獲取客戶端IP
- 28. 登錄時獲取客戶端IP
- 29. 獲取客戶端IP中的Symfony2
- 30. 可靠地獲取Web客戶端IP
你想要什麼檢查嗎?使用AD或389端口連接進行身份驗證的人員? – JPBlanc 2011-05-15 07:16:47
使用AD進行身份驗證的人。 (或者我認爲是這樣,我想審覈用AD用戶名和密碼從計算機登錄的人員。) – 2011-05-26 06:04:19