Jak wyświetlić dzienniki zdarzeń usługi Active Directory (AD).

Wyświetl teraz dzienniki AD
Metoda natywnej inspekcji AD
Metoda z zastosowaniem ADAudit Plus

Inspekcja natywna

Dzienniki zdarzeń usługi Active Directory można przeglądać za pomocą podglądu zdarzeń, który jest natywnym narzędziem dostarczanym przez Microsoft. Jednak najpierw należy włączyć zasady inspekcji w domenie.

  • Krok 1: Można to zrobić przechodząc do Konsola zarządzania zasadami grupy → Zasady domeny → Konfiguracja komputera → Zasady  → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zasady lokalne → Zasady inspekcji/Zaawansowana konfiguracja zasad inspekcji. 
  • Krok 2: Wybierz zdarzenia, które chcesz poddać inspekcji. 
  • Krok 3: Teraz, aby wyświetlić dzienniki zdarzeń usługi AD dla tych zdarzeń, przejdź doNarzędzia administracyjne → Podgląd zdarzeń.
  • Krok 4: Wybierz typ dzienników inspekcji AD, które chcesz wyświetlić (np.: Aplikacja, System itp.).

Możesz filtrować te dzienniki, aby wyświetlić tylko to, czego potrzebujesz.

Niestety, podgląd zdarzeń ma pojemność przechowywania dzienników na poziomie 4GB, a dzienniki są nadpisywane w miarę potrzeb. Ponadto zagęszczenie informacji w tych dziennikach utrudnia uzyskanie jasnego obrazu zdarzeń zachodzących w domenie. Ograniczenia te sprawiają, że podgląd zdarzeń jest słabym narzędziem do inspekcji usługi Active Directory.

Wyświetlanie dzienników zabezpieczeń usługi Active Directory za pomocą programu ADAudit Plus

Program ADAudit Plus umożliwia przeglądanie dzienników zdarzeń usługi AD w postaci przejrzystych, skategoryzowanych raportów. W ten sposób nie trzeba w nieskończoność przewijać gąszczu dzienników zabezpieczeń, spędzać godzin na filtrowaniu zdarzeń lub martwić się, że konkretne zdarzenia zostaną zastąpione przez inne z powodu ograniczonej ilości pamięci. Program ADAudit Plus wykonuje całą pracę za Ciebie. Poniżej przedstawiono przykładowy raport zdarzeń modyfikacji grupy.

Program ADAudit Plus umożliwia eksport tych dzienników do dowolnego narzędzia SIEM, a nawet import dzienników EVT/EVTX z zewnętrznego źródła. Raporty te mogą być eksportowane jako pliki CSV, PDF, XLS lub HTML i zaplanowane do wysłania w wybranym przez użytkownika czasie. Można je archiwizować i zapisywać lokalnie w dowolnym miejscu, więc administratorzy nie muszą się martwić o ograniczenia miejsca, jak w przypadku narzędzi natywnych.

W ten sposób dzienniki ze zdarzeniami można przechowywać tak długo, jak jest to potrzebne do celów analityki śledczej i zapewnienia zgodności z przepisami. Moduł alarmowy programu ADAudit Plus wysyła powiadomienia w czasie rzeczywistym w przypadku wystąpienia jakiegokolwiek krytycznego zdarzenia.

Program ADAudit Plus udostępnia raporty z inspekcji w czasie rzeczywistym dla następujących działań:

  • Inspekcja logowania użytkowników
  • Inspekcja serwera plików
  • Inspekcja obiektów usługi AD
  • Inspekcja serwerów Windows
  • Inspekcja magazynu wymiennego

I wiele więcej!

Dzienniki usługi AD są również kompilowane w postaci wstępnie skonfigurowanych raportów o zachowaniu zgodności, co ułatwia przestrzeganie przepisów branżowych.

Dowiedz się więcej o tym, jak ADAudit Plus może pomóc w przeprowadzeniu inspekcji usługi AD.

Audyt natywny staje się trochę za duży?

Uprość inspekcję i raportowanie Active Directory dzięki ADAudit Plus.

Pobierz za darmo