Active-Directory
記錄 Active Directory 的 LDAP 訪問
我正在尋找一種記錄 Active Directory 域控制器的 ldap 訪問的方法。我希望能夠記錄對389 和 636(加密)的使用者名和源 IP 地址訪問。
一個簡單的數據包擷取可以讓我獲得源 IP,但無法通過 ldaps 獲得使用者名,所以我希望 Windows 中有一些內置的審計/調試/日誌記錄功能可以為我提供這些資訊。
Windows 安全事件日誌確實會跟踪這一點,但要從消防軟管中提取出來並不容易。LDAP 登錄的關鍵標記:
- 事件編號:4624
- 主題使用者SID:S-1-5-18
細節將隱藏在這些 XML 元素中:
- 目標使用者名
- IP地址
如果您在解碼的文本視圖中查看內容,則關鍵標記是:
- 事件編號:4624
- 網路資訊 -> 工作站名稱 = LDAP 伺服器的名稱
詳細資訊將是:
- 網路資訊 -> 源網路地址
- 新登錄 -> 帳戶名稱
將這些登錄事件與正常登錄事件區分開來的關鍵是 ldap 綁定實際上是登錄到相關域控制器。這就是填寫“工作站名稱”欄位的原因。
用片語搜尋來獲取這些事件將被證明是棘手的。