Zor*_*che 7 active-directory ldap logging
我正在寻找一种方法来记录 Active Directory 域控制器的 ldap 访问。我希望能够记录对389 和 636(加密)的用户名和源 IP 地址访问。
一个简单的数据包捕获可以让我获得源 IP,但是通过 ldaps 获取用户名是不可能的,所以我希望 Windows 中有一些内置的审计/调试/日志功能可以为我提供这些信息。
Windows 安全事件日志确实跟踪了这一点,但从消防软管中提取出来并不容易。LDAP 登录的关键标记:
细节将隐藏在这些 XML 元素中:
如果您在解码后的文本视图中查看内容,关键标记是:
详情将是:
将这些登录事件与常规登录事件区分开来的关键在于 ldap 绑定实际上是登录到相关域控制器。这就是填写“工作站名称”字段的原因。
用词组搜索来获取这些事件将被证明是棘手的。
| 归档时间: |
|
| 查看次数: |
91888 次 |
| 最近记录: |