No hay asignaciones de usuario a IP usuario encontradas por el agente de usuario al supervisar los registros de seguridad del controlador de ID dominio
Symptom
- El Agente de usuario ID no está encontrando ninguna asignación de usuario a usuario al IP leer los registros de seguridad de uno o varios controladores de dominio de Windows.
- Los registros de depuración del Agente de usuario ID contienen mensajes de registro de seguridad de lectura, pero sin otros registros relacionados:
[Debug 285]: Reading 1 security logs takes 32 ms for DC ... [Debug 285]: Reading 1 security logs takes 32 ms for DC ... [Debug 285]: Reading 4 security logs takes 953 ms for DC ...
- Si el User- ID Agent no tiene ningún otro medio para identificar usuarios, como sondeos o lecturas de sesiones de servidor, no aparecerá ninguna asignación usuario-IP en la pestaña de supervisión del Agente de ID usuario.
Environment
- UnaNY PAN-OS
- Agente de ID usuario
- Active Directory
Cause
La presencia de los mensajes de registro de seguridad de lectura sin ningún registro relacionado adjunto indica que el Agente de usuario no está encontrando ningún registro de éxito de ID auditoría con los identificadores de evento que el agente supervisa en los registros de seguridad de los controladores de dominio.
A continuación se muestran los registros de un agente de usuario ID al leer desde un controlador de dominio de Windows 2008 que normalmente se vería que implica esos identificadores de evento:
[Debug 321]: LOGON_SUCCESS_W2008(4624) from domain controller 0: .... [Debug 321]: SERVICE_TICKET_GRANTED_W2008(4769) from domain controller 0: .... [Debug 321]: TICKET_GRANTED_RENEW_W2008(4770) from domain controller 0: ....
Si registros como los anteriores no están presentes, pero el Agente de usuario ID está leyendo el registro de seguridad, esto significa que el controlador de dominio no está configurado para auditar los eventos necesarios.Use el programa Visor de eventos en el controlador de dominio de Windows para buscar en el registro de seguridad y comprobar que no se ven los eventos.
Resolution
- Compruebe la seguridad local Policy para el controlador de dominio o controladores de dominio para ver si la acción de auditoría adecuada está configurada para que los identificadores de evento necesarios se escriban en el registro de seguridad.
- Compruebe la siguiente ubicación de la seguridad local Policy del controlador de dominio: configuración de seguridad > directivas locales > directivas de auditoría.
- Hay dos políticas para comprobar qué medidas de auditoría se toman:
- Eventos de inicio de sesión de cuentas de auditoría
- Auditar eventos de inicio de sesión
- Asegúrese de que el registro correcto está activado para cada policy archivo .
- Si hay muchos controladores de dominio, esta misma configuración se puede insertar en todos los controladores de dominio del dominio a través de administración de grupos Policy editando los controladores de dominio predeterminados Policy en los objetos de grupo para el Policy dominio.
Additional Information
Nota: Tenga en cuenta que los cambios sugeridos en este documento son para la configuración en los controladores de dominio de Windows no relacionados con la configuración en el Agente de ID usuario. Revise los cambios sugeridos con los administradores de dominio de Windows.
Procedimiento de Microsoft para habilitar eventos de inicio de sesión de auditoría y inicio de sesión de cuenta de auditoría: