Keine Vom IP Benutzer-Agenten gefundenen Benutzerzuordnungen beim Überwachen von ID Domänencontrollersicherheitsprotokollen

• Der ID Benutzer-Agent findet keine IP Benutzerzuordnungen aus den Sicherheitsprotokollen eines oder mehrerer Windows-Domänencontroller.
• Die ID Benutzer-Agent-Debugprotokolle enthalten das Lesen von Sicherheitsprotokollmeldungen, jedoch ohne andere zugehörige Protokolle:

[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 4 security logs takes 953 ms for DC ...

• Wenn der ID Benutzer-Agent keine andere Möglichkeit hat, Benutzer zu identifizieren, z. B. Sondierungs- oder Serversitzungslesevorgänge, werden keine User-IP-Zuordnungen unter der Überwachungsregisterkarte des User-Agents ID angezeigt.

• Any PAN-OS
• User ID Agent
• Active Directory

Das Vorhandensein der Lesesicherheitsprotokollmeldungen ohne begleitende zugehörige Protokolle weist darauf hin, dass der ID Benutzer-Agent keine Überwachungserfolgsprotokolle mit den Ereignis-IDs findet, die der Agent in den Sicherheitsprotokollen der Domänencontroller überwacht.

Im Folgenden finden Sie Protokolle von einem ID Benutzer-Agent beim Lesen von einem Windows 2008-Domänencontroller, der normalerweise mit diesen Ereignis-IDs zu sehen wäre:

[Debug  321]: LOGON_SUCCESS_W2008(4624) from domain controller 0: ....
[Debug  321]: SERVICE_TICKET_GRANTED_W2008(4769) from domain controller 0: ....
[Debug  321]: TICKET_GRANTED_RENEW_W2008(4770) from domain controller 0: ....

Wenn Protokolle wie die oben genannten nicht vorhanden sind, der ID Benutzer-Agent jedoch das Sicherheitsprotokoll liest, bedeutet dies, dass der Domänencontroller nicht für die Überwachung der erforderlichen Ereignisse konfiguriert ist.Verwenden Sie das Ereignisanzeigeprogramm auf dem Windows-Domänencontroller, um das Sicherheitsprotokoll zu durchsuchen und sicherzustellen, dass die Ereignisse nicht angezeigt werden.

1. Überprüfen Sie die lokale Sicherheit Policy für den Domänencontroller oder die Domänencontroller, um festzustellen, ob die richtige Überwachungsaktion so konfiguriert ist, dass die erforderlichen Ereignis-IDs in das Sicherheitsprotokoll geschrieben werden.
2. Checken Sie den folgenden Speicherort der lokalen Sicherheit Policy des Domänencontrollers ein: Sicherheitseinstellungen > lokale Richtlinien > Überwachungsrichtlinien.
3. Es gibt zwei Strategien, um zu prüfen, welche Prüfungsmaßnahmen ergriffen werden:
   • Audit-Account-Anmelde Veranstaltungen
   • Audit Logon Events
4. Stellen Sie sicher, dass die Erfolgsprotokollierung für jede aktiviert policy ist.
5. Wenn viele Domänencontroller vorhanden sind, können dieselben Einstellungen über die Gruppenverwaltung auf alle Domänencontroller in der Domäne übertragen werden, Policy indem die Standarddomänencontroller in den Gruppenobjekten für die Domäne bearbeitet Policy Policy werden.

Hinweis: Beachten Sie, dass die in diesem Dokument vorgeschlagenen Änderungen für Einstellungen in den Windows-Domänencontrollern gelten, die sich nicht auf Einstellungen auf dem ID Benutzer-Agent beziehen. ÜberPrüfen Sie die vorgeschlagenen Änderungen mit Windows Domain Administratoren.