我正在尝试在Windows DC(Win Server 2012)中检测用户登录事件,但我遇到以下问题:
我的主要目标是检测用户何时从工作时间以外访问他的计算机,即用户在22点到7点之间有活动。此外,我唯一的数据源是域控制器中生成的.evtx文件。
4
可能需要考虑的事情是让用户帐户使用登录脚本并添加一些逻辑,以便将某些内容放入隐藏共享或其他内容的日志文件中。另一件需要考虑的事情是,在特定时间禁止登录AD用户和计算机中的特定帐户,如果他们不应该在您实际执行策略期间登录,以防止完全而不必挖掘日志,查找在事实之后,谁做了这个,报告或与他们谈论它等等。关于这个主题只是几个快速的想法。
—
Pimp Juice IT
你有不止一个DC吗?如果是这样,您必须监视所有登录事件,除非您可以保证将使用哪个DC来验证用户。
—
Twisty Impersonator
如果你的 只要 数据源是来自DC的事件日志数据,然后是您 不要 可以访问足够的信息来捕获 所有 相关的登录事件。您确定不能在查询中包含用户工作站捕获的事件吗?
—
Twisty Impersonator
有许多工作站,我可能会认为在使用日志中心的解决方案中,是否可以使用第三方工具?
—
DiegoS
迭戈 - 你说 “我的主要目标是检测用户何时在工作时间以外访问他的计算机” 所以我很好奇你将收集到的这些非工作时间内有登录的数据会怎么做?此外,您可以设置一个登录脚本,如果它找不到它记录到本地日志文件的DC或隐藏共享,则运行该脚本。然后在那里有逻辑,也说明隐藏的共享是否可用,将最新的本地登录文件复制到同一个共享,但可能是一个单独的子文件夹,并且日志名称为
—
Pimp Juice IT
%computername%.log
也许。这会显示缓存的登录信息。