UTMStack:广告审计集成

Question

我正在尝试启用AD审计集成，但我得到了一个错误"Windows事件未被记录“

我已经在指向它的域控制器上安装了代理，并且我可以看到winlogb拍日志正在正常运行。

Answer 1

需要启用目录服务更改审核。

使用以下命令：

获取当前审计设置：

auditpol /get /category:*

确认启用了高级审计：

reg query HKLM\System\CurrentControlSet\Control\LSA /v SCENoApplyLegacyAuditPolicy

启用目录服务更改审核：

审计目录服务更改

https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-directory-service-changes

AD审计配置

https://docs.utmstack.com/books/ad-auditor/page/ad-audit

注意，还需要对AD对象本身启用审计。这通常意味着在对象层次结构的根添加一个系统访问控制列表(SACL)，指定对修改和删除进行审计。这些应该添加到AD用户和计算机(dsa.msc)中域的根，以及(dssite.msc)中的容器的根。

如果所有配置都正确，则安全事件日志中应该有大量的更改事件(事件Id 5136)，因为对象在正常操作期间经常发生更改。还可以测试对象的创建/删除，以分别创建5137和5141个事件。