1.AD log記錄網域裡面帳號的行為,那AD server 本身的log也是存放在事件紀錄簿嗎?
或者我已經收了AD log,是不是同時也收了AD server 這台主機的Log?
2.收了AD Log,還需要每一台client端電腦的log嗎?
已登入失敗為例,client端電腦雖然會產生log,但AD server本身也會記錄,所以我可以說收了AD log ,client電腦的log就不用收了嗎?
本身Windows AD的日誌收集事件紀錄都是在事件檢視Event Viewer,而只要是網域相關聯的行為AD上都會有用戶的依存紀錄,基本上已經足夠無須特別在用戶端收集,至於檢視的方法就很多元,包含微軟方案的Azure紀錄收集監視或是在透過Sentinel或其他SIEM的Log轉拋統一分析.至於您想要多看哪些的診斷則可以透過Active Directory和LDS診斷事件記錄來做調整
https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/identity/configure-ad-and-lds-event-logging#summary
2.收了AD Log,還需要每一台client端電腦的log嗎?
已登入失敗為例,client端電腦雖然會產生log,但AD server本身也會記錄,所以我可以說收了AD log ,client電腦的log就不用收了嗎?
client端有本機帳號嗎?有需要收集那些登入log嗎?