Active DirectoryのLDAPアクセスをログに記録する
Active DirectoryドメインコントローラーのLDAPアクセスをログに記録する方法を探しています。 sernameおよび389と636(encrypted)の両方へのソースIPアドレスアクセスを記録できるようにしたい。
単純なパケットキャプチャではソースIPが取得されますが、LDAPではユーザー名を取得できないため、この情報を提供する組み込みの監査/デバッグ/ログ機能がWindowsにあることを期待しています。
Windowsセキュリティイベントログはこれを追跡しますが、ファイアホースから抽出するのは簡単ではありません。 LDAPログインの主要なマーカー:
- イベントID:4624
- SubjectUserSID:S-1-5-18
詳細は、これらのXML要素に潜んでいます。
- TargetUserName
- IPアドレス
デコードされたテキストビューで表示している場合、重要なマーカーは次のとおりです。
- イベントID:4624
- ネットワーク情報->ワークステーション名= LDAPサーバーの名前
詳細は次のとおりです。
- ネットワーク情報->送信元ネットワークアドレス
- 新規ログオン->アカウント名
これらのログインイベントを通常のログインイベントと区別する重要な点は、LDAPバインドが実質的に問題のドメインコントローラーにログインしていることです。そのため、「ワークステーション名」フィールドが入力されています。
これらのイベントを取得するために検索をフレージングすることはトリッキーであることがわかります。
古い質問ですが、ADInsightを見てください: https://technet.Microsoft.com/en-us/sysinternals/adinsight.aspx
ポート情報のみ、
netstat 1 -an | findstr ":389"
OR
netstat 1 -an | findstr ":636"
1は[<間隔>]を意味します
選択した情報を間隔秒ごとに再表示します。 CTRL + Cを押して再表示を停止します。このパラメーターを省略すると、netstatは選択された情報を1回だけ出力します。