加入收藏 | 设为首页 | 会员中心 | 我要投稿 李大同 (https://www.lidatong.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 综合聚焦 > 服务器 > Windows > 正文

untagged – 用于监控Windows网络环境的软件(变更控制)

发布时间:2020-12-13 23:45:28 所属栏目:Windows 来源:网络整理
导读:我需要在Microsoft Windows网络环境中实现更改控制和审核.我的问题是审计或更好地改变网络环境的方法.这从所有Active Directory更改开始.我还想将其扩展到网络设备(例如防火墙,路由器,交换机)和服务器. 对网络中的更改进行自动审核将允许我们验证提交的更改
我需要在Microsoft Windows网络环境中实现更改控制和审核.我的问题是审计或更好地改变网络环境的方法.这从所有Active Directory更改开始.我还想将其扩展到网络设备(例如防火墙,路由器,交换机)和服务器.

对网络中的更改进行自动审核将允许我们验证提交的更改控制和这些更改的准确性.

你对这个领域擅长的软件有什么建议吗?

对于Active Directory部分,您可能需要了解一个功能/方面.

Windows 2008引入了审核对象的创建,删除,移动和修改的功能.信息包括执行可审计事件的人员以及对象的DN.在修改的情况下,记录两个事件,它们基本上为您提供当前和以前的值.

使用以下命令在DC上启用此功能:

auditpol /set /subcategory:"directory service changes" /success:enable

您还需要在AD用户和&amp ;;中启用成功审核.计算机,通常在域级别.

将此与事件日志转发相结合时,结果是非常强大且方便的功能.例如,我们将dc设置为将事件ID 5136-5139,5141转发到中央实用程序服务器上的“Forwarded Events”事件日志.

从收集服务器到DC的简单拉取订阅,在高度选择性的XPath查询中过滤噪声可以轻松地将您需要的内容带到一个位置,可以将其存档,报告或导入另一个报告系统.这是一个例如查询的例子:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[( (EventID &gt;= 5136 and EventID &lt;= 5139)  or EventID=5141) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
    <Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress>
  </Query>
</QueryList>

有些事情需要配置才能使订阅正常工作.有些可以在组策略中完成.

更多信息:

AD DS审核循序渐进指南
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx

配置计算机以转发和收集事件
http://technet.microsoft.com/en-us/library/cc748890.aspx

适用于Windows的快速和肮脏的大规模事件
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

(编辑:李大同)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
        站长推荐
        热点阅读

          【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

          建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

          Copygight © 2008-2022 https://www.lidatong.com.cn/ All Rights Reserved. 李大同