イベントビューアで失敗した認証が見つかりません
2016ドメインのDCから失敗したログイン/認証イベントを収集しようとしています。
ユーザーがログオン画面でログインに失敗すると、ドメインコントローラーのセキュリティログに4625の監査失敗イベントが表示されます。
別のユーザーとしてアプリケーションを実行しようとして正しくログインできない場合、ローカル(デスクトップ)イベントログに4025が表示されますが、どのDCでも対応するイベントが見つかりません。
他のイベントタイプ/ログを同時に探しましたが、見逃した可能性がありますが、アクティビティに対応していると思われるものは何も表示されません。
この情報を(DCから)一元的に収集する方法を誰かに教えてもらえますか?
ユーザーがドメイン資格情報を使用してワークステーションまたはサーバーにログインできなかった場合、通常、次の2種類のイベントがトリガーされます。
- ソースデバイス(ユーザーが接続されている場所):通常、ID4625および/または4776を報告します
- ドメインコントローラー:この暫定的なログインに関連するイベントID4625は報告されません。代わりに、TGTチケットに関連するID4771または4768のKerberosイベントを報告します。 ID 4776は、使用される認証プロトコル(NTLMまたはKerberos)によっても報告される場合があります。ただし、ドメインコントローラーへのログインに失敗した場合、送信元と宛先が同じであるため、ID4625と関連するKerberosIDの両方が同じデバイスで報告されることに注意してください。
したがって、DCで失敗した暫定的なものを確認するには、GPOを使用してDCで成功および失敗したKerberos監査機能を有効にします。いくつかのヘルプが見つかります ここ 。次に、Windows Event Collectorサーバー( source )をセットアップして、すべてのイベントを一元化してからSIEM(ELK、Splunk、ArcSightなど)に転送することをお勧めします。