用EventLog Analyzer监控Active Directory日志

Active Directory组成Microsoft Windows域管理的核心部分。它是非常关键的组件,因为它的故障可能破坏整个网络。当目录服务出现故障时,则详情则立即记录在日志中。如果对日志进行通盘分析,则可找到故障的根本原因。对Active Directory对象的任何操作必须进行捕获。对目录服务对象和副本源命名上下文的Active Directory操作会直接影响网络中机器的用户访问和操作。因此,监控Active Directory日志事件至关重要,确保网络的正常工作。

EventLog Analyzer可监控Active Directory日志,且任何特定故障事故可实时进行跟踪。它可以即时向网络管理员发出告警,因此可很快地采取补救措施来避免网络故障。

它可以灵活地创建自定义报表来监控Active Directory特定事件。可监控Active Directory的各事件ID。

Active Directory dashboard

 

AD Events

确保对Active Directory事件已启用日志记录,EventLog Analyzer的事件筛选器未对其进行筛选。

 

Active Directory简介

Active Directory是Microsoft Windows域网络的一种目录服务。它是组成Windows Server操作系统的一部分。运行有Active Directory的服务器称为域控制器。它对管理员提供集中式管理和网络安全。它对Windows网络域中的所有用户和计算机进行身份验证,然后进行授权。它对所有计算机分配安全策略并强制实行。它使用轻量级目录访问协议(LDAP)。Active Directory的日志记录在Windows操作系统的事件查看器中。

Active Directory相关事件ID

用于目录服务的Windows Server 2000和2003事件ID

Windows 565 - 对象打开(Active Directory)
Windows 566 - 对象操作(W3 Active Directory)

用于目录服务的Windows Server 2008事件ID

Windows 4661 - 已请求到对象的句柄
Windows 4662 - 在对象上已执行操作
Windows 4928 - Active Directory副本源命名上下文已建立
Windows 4929 - Active Directory副本源命名上下文已删除
Windows 4930 - Active Directory副本源命名上下文已修改
Windows 4931 - Active Directory副本目标命名上下文已修改
Windows 4932 - Active Directory命名上下文副本的同步已开
Windows 4933 - Active Directory命名上下文副本的同步已结束
Windows 4934 - Active Directory对象的属性已复制
Windows 4935 - 复制故障开始
Windows 4936 - 复制故障结束
Windows 4937 - 已将延迟对象从副本中删除
Windows 5136 - 已修改目录服务对象
Windows 5137 - 已创建目录服务对象
Windows 5138 - 已恢复目录服务对象
Windows 5139 - 已移动目录服务对象
Windows 5141 - 已删除目录服务对象

其它功能

日志管理

在中央位置管理来自网络中多个来源的日志数据。获取预定义报表和实时告警,帮助满足安全、合规和工作需要。

IT合规管理

通过预定义的报表和告警,符合监管条例(即,PCI DSS、FISMA、HIPAA及更多)的严格要求。自定义现有报表或构建新报表来满足内部安全需求。

应用程序日志管理

分析来自IIS和Apache网络服务器、Oracle和MS SQL数据库、DHCP Windows和Linux应用程序及更多来源的应用程序日志。用报表和实时告警来缓解应用程序安全攻击现象。

Syslog服务器管理

应用程序日志管理EventLog Analyzer收集并分析来自Linux/Unix服务器的日志数据以提供动态报表,帮助检测可疑行为、异常syslog活动及更多。

打印服务器管理

控和审核打印服务器,并提供详细报表:已打印的文档,无正确权限的文档打印尝试,失败的打印作业及其原因等。

日志取证分析

执行深入的取证分析,以追踪攻击并确定事故的根本原因。将搜索查询保存为告警配置文件以缓解将来威胁。