Я пытаюсь включить интеграцию с аудитом AD, но получаю сообщение об ошибке «События Windows не регистрируются».
У меня есть агент, установленный на контроллере домена, на который я его указываю, и я вижу, что журналы winlogbeats поступают нормально.
1 ответ
Необходимо включить аудит изменений службы каталогов.
Используйте следующие команды:
Получить текущие настройки аудита:auditpol /get /category:*
Убедитесь, что расширенный аудит включен:reg query HKLM\System\CurrentControlSet\Control\LSA /v SCENoApplyLegacyAuditPolicy
Включите аудит изменений службы каталогов:
Аудит изменений службы каталогов
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-directory-service-changes
Конфигурация аудита AD
https://docs.utmstack.com/books/ad-auditor/page/ad-audit
Обратите внимание, что аудит также необходимо включить для самих объектов AD. Обычно это означает добавление системного списка управления доступом (SACL) в корень иерархии объектов, указывающего, что изменения и удаления подлежат аудиту. Их следует добавить в корень домена в разделе «Пользователи и компьютеры AD» (dsa.msc) и в корень контейнера конфигурации «Сайты» в узлах и службах AD (dssite.msc).
Если все настроено правильно, в журнале событий безопасности должно быть много событий изменения (идентификатор события 5136), поскольку объекты часто изменяются во время нормальной работы. Вы также можете протестировать создание/удаление объектов для создания событий 5137 и 5141 соответственно.
Грег Аскью