iT邦幫忙

1

AD 帳號登錄失敗 LOG

想問一下
網域電腦 PC1 使用網域帳號 user1 登錄時
如果成功、失敗皆會產生 LOG 在 PC1 中

如果我想在 DC1 也看到網域電腦 PC1 登錄失敗的 LOG
請問 LOG 在哪 ? ,或是需要另外設定嗎 ?

看更多先前的討論...收起先前的討論...
ks1217 iT邦研究生 3 級 ‧ 2020-06-04 16:42:59 檢舉
把PC1 Join DC1 domain, 並開啟相關稽核設定,就可以看到了
https://www.manageengine.com/products/active-directory-audit/kb/ad-user-login-history-report.html
我有照這篇做設定了
內文提到 Event ID 4625 只會在該 PC1 上面有
Event ID 4768、4771 在 DC1 搜尋不到任何紀錄
有詳細設定說明嗎?
ks1217 iT邦研究生 3 級 ‧ 2020-06-04 17:48:25 檢舉
可以參考這裡
https://my-fish-it.blogspot.com/2012/01/ss-windows-server-2008-r2.html
另外需確認您的PC1是否有套用到Default Domain Policy
PC1 有套用 GPO 了
你的連結中 看的並不是 client 的 LOG
也是在 AD 登錄帳號的 LOG 吧?
ks1217 iT邦研究生 3 級 ‧ 2020-06-04 18:10:12 檢舉
這篇是說明稽核檔案刪除修改等記錄, 其中也有提到稽核帳戶登入事件, 這就會有帳號的登入登出事件了, 你的PC1登入AD (DC1) 的紀錄. 就會秀在 DC1 上面的安全紀錄裡
PC1登入AD (DC1) ???
你是指 user1 登入 AD 會產生紀錄嗎? 這沒錯
但我要的是
user1 登入 PC1 會產生的紀錄,一併在 DC 1 能找到對應的紀錄
ks1217 iT邦研究生 3 級 ‧ 2020-06-04 18:21:24 檢舉
你說"網域電腦 PC1 使用網域帳號 user1 登錄時" 就表示 User1 登入AD 帳號了不是嗎? 如果你不是用網域帳號, 用PC1本機帳號, LOG當然只在本機.
你會錯意了 “網域帳號” user1
user1 是帳號
ad(DC1) , pc1 是電腦
我現在的問題在於
我網域帳號登入動作產生的 log ,只會在該登入的電腦上有
我想要在AD這台電腦上看到所有網域電腦上的網域帳號登入 log
ks1217 iT邦研究生 3 級 ‧ 2020-06-05 08:55:24 檢舉
User1這個帳號是不是建在AD上呢? 如果不是建立在AD上, 那又怎麼叫做"網域帳號"?? PC1 如果沒加入網域 又怎麼叫作 "網域電腦PC1"呢 ? 你的PC1 登陸的不是 Domain\User1 嗎? 如果是, 那就是登入AD帳號在PC1了不是嗎?! 是你搞錯還是我搞錯??
你說的都對,是你搞錯我的需求了
我的需求是 LOG 在 "DC 主機"也能看的到
該設定只會在 PC1 上面看的到 LOG
ks1217 iT邦研究生 3 級 ‧ 2020-06-05 10:01:27 檢舉
當你的網域使用者登入PC1上的AD帳號成功或失敗時, DC上就會有這台PC1 使用甚麼帳號 登入 成功 或 失敗 的LOG, 這樣不是你要的目的?? 你選的最佳解答就是你要的不是嗎? 使用者用電腦登入AD網域, 你想DC怎麼可能會沒有LOG?! 那要DC做甚麼呢, ,除非你沒有開啟稽核登入登出.
你貼給我的文章中 event ID 4624 只會存在於 PC1 中
我測試並不會同時出現在 DC 主機上
DC 主機上只會出現 ID 4772、4768 這才是我想知道的答案
manageengine 那篇文章應該是我英文不好 設定有誤
參考最佳解答才成功實作 manageengine 的內容
setsuna iT邦新手 4 級 ‧ 2020-06-05 10:13:26 檢舉
其實就是開版沒做完所有稽核設定,然後誤以為只有PC上有登入記錄而DC上不會有記錄。而他選的最佳解答就剛好把他沒設定到的設定補齊。

他的發問一開始就搞錯方向了。
我發問有搞錯方向嗎XD?

我一開始就問
> 想在 DC1 也看到網域電腦 PC1 登錄失敗的 LOG
> 請問 LOG 在哪 ? ,或是需要另外設定嗎 ?

ks1217 給的設定實際上 "只有PC上有登入記錄而DC上不會有記錄"
並沒有誤以為存在

最佳解答 的設定才是對的
ks1217 iT邦研究生 3 級 ‧ 2020-06-05 16:48:34 檢舉
我不太懂這句 >"只有PC上有登入記錄而DC上不會有記錄"< 跟我提到的 稽核 ,有甚麼關聯, 稽核一開, DC上就會有PC登入失敗的紀錄. 就跟最佳解答一樣.
ks1217 你沒看仔細
你給的設定方法與最佳解答給的並不同
不過這也有可能是 AD 版本存在差異也說不定 (我使用 2016)
1
eynysina
iT邦新手 5 級 ‧ 2020-06-05 09:22:43
最佳解答

https://eynysina.blogspot.com/2020/05/ad-gpo.html
可以參考這篇,在gpo上設定,讓user在輸入domain帳密驗證失敗後在DC上會有記錄。

謝謝 有看到ID 4772 4768 的 LOG 了

1
loke0204
iT邦新手 3 級 ‧ 2020-06-04 17:04:38

這個紀錄似乎只會在 PC1 上面有,DC1 有對應的紀錄嗎?

jeles51 iT邦研究生 3 級 ‧ 2020-06-05 08:04:25 檢舉

我的作法是,在 DC 上設定工作排程, 當事件發生時,
寄送MAIL到我的信箱.
上面會有紀錄,USERNAME/HOSTNAME/時間點.

loke0204 iT邦新手 3 級 ‧ 2020-06-05 10:51:24 檢舉

windows > nxlog > graylog

1
zero
iT邦研究生 5 級 ‧ 2020-06-04 18:17:40

你要用第三方軟體或者是Windows的事件轉寄功能來做

https://www.lijyyh.com/2012/08/windows-set-up-windows-event-forwarding.html

看更多先前的回應...收起先前的回應...

謝謝 也是個方法

zero iT邦研究生 5 級 ‧ 2020-06-11 17:59:03 檢舉

我以為最佳解答的部分你都設定過了,那再額外給你一個建議好了,
基本上如果你家的USER常常被鎖,建議你把鎖定的事件ID做通知處理。

zero iT邦研究生 5 級 ‧ 2020-06-11 18:00:09 檢舉

如果你想看一些非登入類的LOG,你還是必須要做我說的事件轉寄的功能才行,例如:用戶端的時間無法跟DC校時,DNS無法登記,群組原則無法更新等等

zero iT邦研究生 5 級 ‧ 2020-06-11 18:04:40 檢舉

基本上帳戶被鎖,是最基本的資安事件,嚴不嚴重看個人看公司政策。
https://ithelp.ithome.com.tw/upload/images/20200611/20022284uvxgygxhvP.jpg

感謝
的確更多內容必須透過轉送才能得到

我要發表回答

立即登入回答