記錄 Active Directory 的 LDAP 訪問

我正在尋找一種記錄 Active Directory 域控制器的 ldap 訪問的方法。我希望能夠記錄對389 和 636（加密）的使用者名和源 IP 地址訪問。

一個簡單的數據包擷取可以讓我獲得源 IP，但無法通過 ldaps 獲得使用者名，所以我希望 Windows 中有一些內置的審計/調試/日誌記錄功能可以為我提供這些資訊。

Windows 安全事件日誌確實會跟踪這一點，但要從消防軟管中提取出來並不容易。LDAP 登錄的關鍵標記：

• 事件編號：4624
• 主題使用者SID：S-1-5-18

細節將隱藏在這些 XML 元素中：

• 目標使用者名
• IP地址

如果您在解碼的文本視圖中查看內容，則關鍵標記是：

• 事件編號：4624
• 網路資訊 -> 工作站名稱 = LDAP 伺服器的名稱

詳細資訊將是：

• 網路資訊 -> 源網路地址
• 新登錄 -> 帳戶名稱

將這些登錄事件與正常登錄事件區分開來的關鍵是 ldap 綁定實際上是登錄到相關域控制器。這就是填寫“工作站名稱”欄位的原因。

用片語搜尋來獲取這些事件將被證明是棘手的。

引用自：https://serverfault.com/questions/193100