架构指南

架构图

ADAudit Plus 提供的模块

事件处理引擎

从网络获取的所有事件都会在存储到数据库或触发相应警报之前进行处理。它会过滤管理员配置的不需要的日志，并将原始日志规范化为标准格式。

警报引擎

根据配置的警报配置文件发送电子邮件或短信通知。

审计数据库

存储来自网络中配置设备的原始和规范化日志信息。ADAudit Plus 内置了PostgreSQL数据库，用户也可以根据需要选择使用Microsoft SQL数据库。

分析引擎

收集信息并建立正常活动的基线模型以定义动态阈值。当检测到异常时，会触发警报。

ADAudit Plus 交互的外部接口

用户界面

一个运行在浏览器上的网页界面，连接到监听8081端口的tomcat网页服务器组件。

数据库接口

ADAudit Plus 配备内置PostgreSQL数据库，监听33307端口。产品与数据库之间的交互通过Java数据库连接（JDBC）接口进行。产品还支持连接MSSQL和MySQL数据库。

Active Directory服务接口（ADSI）

ADAudit Plus 通过ADSI与Active Directory交互。ADSI是微软提供的一组组件对象模型（COM）接口，用于访问目录服务的功能。

Windows事件日志

ADAudit Plus 使用Windows Eventlog API 查询Windows服务器和工作站上的事件日志。

SIEM转发

ADAudit Plus 可以将所有事件转发至您选择的SIEM解决方案。目前，该工具支持开箱即用的Splunk、ArcSight(CEF)和syslog标准。

电子邮件/短信

ADAudit Plus 可以通过电子邮件或短信向用户发送关键警报。发送邮件使用SMTP服务器配置，发送短信使用SMS提供商配置。