Comments 10
Это всё конечно хорошо, проделан большой труд, но зачем мурыжить систему обработкой кучи логов. Не проще ли написать скрипт который будет заносить событие входа в систему в определенный файл, тоже самое и на клиентских компах. Распространить этот скрипт через GPO, триггер запуска поставить на вход пользователя… И всё!!! будет файл где видны от какой учетной записи и на каком компьютере был вход.
Очень странные рекомендации «отключить failure». 1). Журнал не должен переполнится, Вы должны спланировать достаточное место под него. 2). Откуда возьмется переполнение если нет перебора пароля? 3). Если есть перебор пароля на ваших серверах, Вы закрываете глаза на него и ждете пока у брутфорсера success logon не наступит?
1. Да, но потери производительности сервера однозначно будут с ростом журнала аудита.
2. Не рассматриваю только попытки перебора, событий и так много, ведь любое обращение к DC зафиксируется. Например триггеры от пользователя с истекшим паролем, попытки входа с локальным пользователем на доменные ресурсы, всевозможные update сервисы. Также преследую задачу по интеграции полученных результатов в другую систему. Важны успешные попытки входа, хочу отделить мух от котлет уже на первом этапе фильтрации.
2. Не рассматриваю только попытки перебора, событий и так много, ведь любое обращение к DC зафиксируется. Например триггеры от пользователя с истекшим паролем, попытки входа с локальным пользователем на доменные ресурсы, всевозможные update сервисы. Также преследую задачу по интеграции полученных результатов в другую систему. Важны успешные попытки входа, хочу отделить мух от котлет уже на первом этапе фильтрации.
Единственный способ, говорите? :) Тогда форвард логов на выделенный сервер, передача нужных событий в sql — тоже, в своем роде, единственные.
Перенаправить логи можно, но что дальше? Предлагаете поставить СУБД и дамп лога загрузить в SQL server?
А, что же, это не способ, что-ли? Он ещё и штатный, между прочим.
В одном соглашусь на 200%: LOGPARSER -очень мощная штука, список типов и форматов источников, куда он умеет лазить довольно большой. Да и описанный Вами сценарий — далеко не единственное применение утилиты.
Почему бы и нет? Вдруг заказчик не захочет использовать GPO? :)
У вас на любую дельную мысль возникает желание оспорить эту мысль.
Если серьезно, то неплохая идея централизованно хранить логи в объеме, который необходим.
Какие видите плюсы и минусы по сравнению с MS OpsMgr ACS?
( по-моему, решает похожие задачи:
Collecting Security Events Using Audit Collection Services in Operations Manager
)
( по-моему, решает похожие задачи:
Collecting Security Events Using Audit Collection Services in Operations Manager
)
Sign up to leave a comment.
Сбор и фильтрация событий входа в систему с помощью Log Parser