[Server] Мониторинг аккаунтов АД

Тема в разделе "Windows", создана пользователем kikabidze, 19 окт 2010.

Модераторы: ADMiNZ
  1. kikabidze

    kikabidze

    Регистр.:
    18 авг 2010
    Сообщения:
    292
    Симпатии:
    30
    Подскажите плиз, где можно посмотреть, когда и с каких компьютеров были удачные и неудачные попытки залогиниться под определенным АД аккаунтом?
    Т.е. есть сеть с компьютерами в АД, хочу посмотреть, не пытался ли кто заходить в свой компьютер (или на сервер) под моим аккаунтом.
     
  2. Шейла

    Шейла

    Регистр.:
    12 май 2008
    Сообщения:
    565
    Симпатии:
    158
    EventLog > Security

    И там по поиску событий.
     
  3. kikabidze

    kikabidze

    Регистр.:
    18 авг 2010
    Сообщения:
    292
    Симпатии:
    30
    Так этож он на локальной машине события показывает? Или что-то путаю и можно посмотреть консолидированный отчет по всем машинам одновременно? Я могу конечно подключиться консолью к каждому компьютеру отдельно и посмотреть в эвентах, но это очень долго - компьютеров просто несколько тысяч и не на всех есть админ-права :(
    Сейчас попробовал подключиться с помощью Event viewer к АД-серверу, но логи не показывает - нет доступа.
    Возможно ли еще как-нибудь посмотреть?
     
  4. Paroxizm

    Paroxizm Создатель

    Регистр.:
    30 июл 2009
    Сообщения:
    30
    Симпатии:
    11
    Консолидированно показать все логи в одном месте готовыми стандартными средствами нельзя (по крайней мере я таких средств не нашел когда искал). Я тогда набросал по-быстрому свою прогу, она качала логи с серверов и искала в них нужную мне строку.

    Скорее всего это можно сделать с использованием PowerShell, но я не пробовал, спроси спецов по PS.

    Сейчас есть готовые решения, например, это или это (сам не тестировал, ногами не бить :) ).

    Посмотри
    здесь
    здесь
    и здесь, может найдёшь что-то интересное.
     
  5. Шейла

    Шейла

    Регистр.:
    12 май 2008
    Сообщения:
    565
    Симпатии:
    158
    kikabidze зачем ты запостил свой вопрос в этом разделе, если у тебя доступа к АД нет?
    За это ты получил карточку, как за некоректно оформленную тему!

    Я и ответ давал из расчета, что это EventLog > Security надо смотреть на контроллере домена.
    Без административного доступа к журналам системы тебе не подобратсься, хоть с софтом хоть без него.

    1 Иди к админам и применяй соц.инженерию пугай их подозрениями в несанкционированном проникновением в корпоративную сеть или может еще чем.
    2 Иди к админам с коньяком :)
     
    1010 нравится это.
  6. Paroxizm

    Paroxizm Создатель

    Регистр.:
    30 июл 2009
    Сообщения:
    30
    Симпатии:
    11
    Мда, про права не дочитал. Без админских прав большинство прог нормально работать не будет.

    Лучше идти с коньяком, т.к.:
    1. админы обычно не пугливы, сами следят за безопасностью и могут не особо разбираясь дать по шапке за передачу логина/пароля другому пользователю, что обычно запрещено.
    2. можно получить по шапке за попытки логона туда, куда соваться не следует (например, на DC).
    Так что делайте себе броник из салями, лимонную каску, пару "коньячных гранат" в руки и вперёд. :)
     
  7. kikabidze

    kikabidze

    Регистр.:
    18 авг 2010
    Сообщения:
    292
    Симпатии:
    30
    Вы не совсем меня правильно поняли :) Хотя я сам виноват, т.к. нужно было все подробней расписать. Админ доступ у меня есть к 90% интересующих компов и серверов, т.к. я сам админ :) Нет его только на АД по сети (доступ есть на один АД сервер, но только если перезагрузить его в режиме восстановления домена) и некоторым другим ресурсам. По сети к АД доступ имеют только пара американских коллег. Просто я думал что есть софт, который может собрать по сети все отчеты с рабочих машин, минуя сервера (теоретически в этом ничего невозможного нет), т.к. через консоль mmc к каждой отдельной рабочей станции у меня доступ есть.
    Америкосы народ ленивый, доступ не дают и нужные отчеты в SMS Reports для нас делать не спешат :(
     
  8. Paroxizm

    Paroxizm Создатель

    Регистр.:
    30 июл 2009
    Сообщения:
    30
    Симпатии:
    11
    Тогда посмотри ссылки, которые я тебе выше приводил, там есть примеры софта для решения твоей задачи, т.е. просто собирать логи по сети и искать в них нужную инфу.
     
  9. GEEPERS

    GEEPERS

    Регистр.:
    26 янв 2008
    Сообщения:
    162
    Симпатии:
    25
    Еще такой вод скрипт откопал у себя в архивах:
    Копирует все события, созданные в предыдущий день, из журналов в базу данных. В примере в качестве имени источника данных (DSN) используется EventLogs
    Код:
     Set objConn = CreateObject("ADODB.Connection") 
    Set objRS = CreateObject("ADODB.Recordset") 
    objConn.Open "DSN=EventLogs;" 
    objRS.CursorLocation = 3 
    objRS.Open "SELECT * FROM EventTable" , objConn, 3, 3 
    Set dtmStartDate = CreateObject("WbemScripting.SWbemDateTime") 
    Set dtmEndDate = CreateObject("WbemScripting.SWbemDateTime") 
    DateToCheck = Date - 1 
    dtmEndDate.SetVarDate Date, True 
    dtmStartDate.SetVarDate DateToCheck, True 
    strComputer = "." 
    Set objWMIService = GetObject("winmgmts:" _ 
        & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") 
    Set colEvents = objWMIService.ExecQuery _ 
        ("Select * from Win32_NTLogEvent Where TimeWritten >= '" _ 
            & dtmStartDate & "' and TimeWritten < '" & dtmEndDate & "'") 
    For each objEvent in colEvents 
        objRS.AddNew 
        objRS("Category") = objEvent.Category 
        objRS("ComputerName") = objEvent.ComputerName 
        objRS("EventCode") = objEvent.EventCode 
        objRS("Message") = objEvent.Message 
        objRS("RecordNumber") = objEvent.RecordNumber 
        objRS("SourceName") = objEvent.SourceName 
        objRS("TimeWritten") = objEvent.TimeWritten 
        objRS("Type") = objEvent.Type 
        objRS("User") = objEvent.User 
        objRS.Update 
    Next 
    objRS.Close 
    objConn.Close 
     
  10. naeco

    naeco Создатель

    Регистр.:
    6 фев 2011
    Сообщения:
    22
    Симпатии:
    2
    есть такая прога gfi eventsmanager может собирать логи с компов в одно место и там просто ищите что вам нужно

    можно пойти дальше настроить сбор логов другим ПО например клиент Snare на сервер допустим splunk и там уже удобный поиск, так же можно там настроить алертинг

    можно пойти еще дальше взять опен сорс решения siem и уже там делать автоматический анализ логов по заданным правилам.