|
用户访问计算机是各种规模公司的日常任务。乍一看,访问日志可能看起来像简单的 Active Directory 事件,但它们对于系统管理员的各种审计/合规/操作需求很有价值。以下操作需要需要审核 Active Directory 用户登录日志:
(*通常需要高权限才能登录 Active Directory 域控制器和成员服务器。)
(*在询问涉嫌不当行为的员工时,员工在工作期间访问和修改的 Active Directory 对象,例如计算机、组和其他用户您需要提供您的帐户信息.)。  Active Directory 一、为什么您可能需要用于 Active Directory 用户登录审核的工具 Active Directory 登录日志会持续记录在 Active Directory 域控制器安全日志中。域控制器事件查看器中记录的数据特征如下: 二、需要专业知识 要正确阅读事件日志,您必须了解事件 ID 与其他项目(登录类型)之间的相关性。 三、日志数据 大量的 Active Directory 登录活动会持续记录在域控制器上,从而产生大量事件日志数据。 四、访问权限 受限的域控制器是 Active Directory 中的一个关键组件,访问权限主要仅限于管理员。 Active Directory 提供的事件查看器的另一个限制是它无法跟踪审计员/人力资源人员等非管理用户的登录操作。此外,关键登录事件(例如域控制器/成员服务器上的登录活动)需要在发生异常时立即发出警报和持续审核。但是,在庞大的日志输出中,很可能会忽略这一重要信息。 |
|
|
