iT邦幫忙

0

關於AD server log的一些問題

#ad
  • 分享至 

  • xImage

1.AD log記錄網域裡面帳號的行為,那AD server 本身的log也是存放在事件紀錄簿嗎?
或者我已經收了AD log,是不是同時也收了AD server 這台主機的Log?

2.收了AD Log,還需要每一台client端電腦的log嗎?
已登入失敗為例,client端電腦雖然會產生log,但AD server本身也會記錄,所以我可以說收了AD log ,client電腦的log就不用收了嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
Gary
iT邦好手 1 級 ‧ 2022-01-22 15:29:25

本身Windows AD的日誌收集事件紀錄都是在事件檢視Event Viewer,而只要是網域相關聯的行為AD上都會有用戶的依存紀錄,基本上已經足夠無須特別在用戶端收集,至於檢視的方法就很多元,包含微軟方案的Azure紀錄收集監視或是在透過Sentinel或其他SIEM的Log轉拋統一分析.至於您想要多看哪些的診斷則可以透過Active Directory和LDS診斷事件記錄來做調整
https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/identity/configure-ad-and-lds-event-logging#summary

所以我如果收了AD Log就同時收了網域帳戶行為跟AD server本身的log嗎?

0
CyberSerge
iT邦好手 1 級 ‧ 2022-01-23 09:53:26

2.收了AD Log,還需要每一台client端電腦的log嗎?
已登入失敗為例,client端電腦雖然會產生log,但AD server本身也會記錄,所以我可以說收了AD log ,client電腦的log就不用收了嗎?

client端有本機帳號嗎?有需要收集那些登入log嗎?

大大兩個問題就解決我的困惑,如果client有local帳號,AD server是看不到Log的,因此取決的local帳號的使用程度,我這樣理解是對的嗎?

我要發表回答

立即登入回答