Aucun utilisateur-à-cartographie IP trouvé par l’utilisateur-agent lors ID de la surveillance des journaux de sécurité contrôleur de domaine
Symptom
- L’utilisateur-agent ID ne trouve pas d’utilisateur-à-cartographies IP de la lecture des journaux de sécurité d’un ou plusieurs contrôleurs de domaine Windows.
- Les journaux de ID débogage utilisateur-agent contiennent des messages de journal de sécurité de lecture, mais sans autres journaux connexes :
[Debug 285]: Reading 1 security logs takes 32 ms for DC ... [Debug 285]: Reading 1 security logs takes 32 ms for DC ... [Debug 285]: Reading 4 security logs takes 953 ms for DC ...
- Si l’utilisateur-agent ID n’a pas d’autres moyens d’identifier les utilisateurs, tels que sonder ou lire la session serveur, alors aucune cartographie utilisateur-ip n’apparaîtra sous l’onglet de surveillance de ID l’utilisateur-agent.
Environment
- ANY PAN-OS
- IDAgent utilisateur
- Annuaire actif
Cause
La présence des messages de journal de sécurité de lecture sans aucun journal connexe qui l’accompagne indique que ID l’utilisateur-agent ne trouve pas de journaux de succès d’audit avec les identifiants d’événements que l’agent surveille dans les journaux de sécurité des contrôleurs de domaine.
Voici les journaux d’un ID utilisateur-agent lors de la lecture à partir d’un contrôleur de domaine Windows 2008 qui serait généralement vu impliquant ces ID événement:
[Debug 321]: LOGON_SUCCESS_W2008(4624) from domain controller 0: .... [Debug 321]: SERVICE_TICKET_GRANTED_W2008(4769) from domain controller 0: .... [Debug 321]: TICKET_GRANTED_RENEW_W2008(4770) from domain controller 0: ....
Si des journaux comme ce qui précède ne sont pas présents, mais que ID l’utilisateur-agent lit le journal de sécurité, cela signifie que le contrôleur de domaine n’est pas configuré pour auditer les événements nécessaires.Utilisez le programme Visionneuse d’événements sur le contrôleur de domaine Windows pour rechercher le journal de sécurité et vérifier que les événements ne sont pas vus.
Resolution
- Vérifiez la sécurité locale Policy pour le contrôleur de domaine ou les contrôleurs de domaine pour voir si l’action d’audit appropriée est configurée de sorte que les identifiants d’événements nécessaires soient écrits sur le journal de sécurité.
- Vérifiez l’emplacement suivant du contrôleur local de sécurité du domaine : paramètres Policy de sécurité et > politiques locales et > d’audit.
- Il existe deux stratégies pour vérifier l'action d'audit qui est prise:
- Événements d'ouverture de session de compte d'Audit
- Événements d'ouverture de session d'Audit
- Assurez-vous que l’enregistrement de succès est activé pour chaque policy .
- S’il existe de nombreux contrôleurs de domaine, ces mêmes paramètres peuvent être poussés vers tous les contrôleurs de domaine dans le domaine par le biais de la gestion Policy de groupe en éditant les contrôleurs de domaine Policy par défaut dans les objets de groupe pour le Policy domaine.
Additional Information
Note: Sachez que les modifications suggérées dans ce document sont pour les paramètres dans les contrôleurs de domaine Windows non liés aux paramètres de ID l’utilisateur-agent. Examinez les modifications suggérées avec les administrateurs de domaine Windows.
Procédure de Microsoft pour activer les événements Logon audit et Audit Account Logon :