IPドメイン コントローラのセキュリティ ログを監視する際に、ユーザーとエージェントがユーザーとマッピング ID を検出しない

• ユーザー ID エージェントは IP 、1 つ以上の Windows ドメイン コントローラのセキュリティ ログを読み取ってユーザーとマッピングを検出しません。
• IDUser-Agent デバッグ ログには、セキュリティ ログ メッセージの読み取りが含まれていますが、関連するログは含まれていません。

[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 4 security logs takes 953 ms for DC ...

• User-Agent ID に、プローブやサーバーセッションの読み取りなど、ユーザーを識別する他の手段がない場合、User-Agent の監視タブの下にユーザー IP マッピングは表示されません ID 。

• Ny PAN-OS
• ユーザー ID エージェント
• アクティブ ディレクトリ

関連するログを伴わないセキュリティ ログ メッセージの読み取りが存在すると ID 、User-Agent は、ドメイン コントローラのセキュリティ ログでエージェントが監視するイベント ID を持つ監査成功ログを検出していないことを示しています。

以下は ID 、Windows 2008 ドメイン コントローラから読み取る際に、これらのイベント ID を含むユーザー エージェントからのログです。

[Debug  321]: LOGON_SUCCESS_W2008(4624) from domain controller 0: ....
[Debug  321]: SERVICE_TICKET_GRANTED_W2008(4769) from domain controller 0: ....
[Debug  321]: TICKET_GRANTED_RENEW_W2008(4770) from domain controller 0: ....

上記のようなログが存在しないが、User-Agent ID がセキュリティ ログを読み取っている場合は、ドメイン コントローラが必要なイベントを監査するように構成されていません。Windows ドメイン コントローラのイベント ビューア プログラムを使用して、セキュリティ ログを検索し、イベントが表示されないことを確認します。

1. Policyドメイン コントローラまたはドメイン コントローラのローカル セキュリティをチェックして、必要なイベント ID がセキュリティ ログに書き込まれるように適切な監査操作が構成されているかどうかを確認します。
2. ドメイン コントローラのローカル セキュリティの次の場所をチェックインします Policy > >。
3. 監査アクションが実行されるかどうかを確認するには、2つのポリシーがあります。
   • アカウントログオンイベントの監査
   • ログオンイベントの監査
4. 各 policy .
5. ドメイン コントローラが多数ある場合、グループ管理を使用して、ドメインの Policy グループ オブジェクトの既定のドメイン コントローラを編集することで、ドメイン内のすべてのドメイン コントローラに同じ設定をプッシュできます Policy Policy 。

注: このドキュメントで提案されている変更は、ユーザーエージェントの設定とは関係のない Windows ドメイン コントローラの設定に関 ID する変更点です。 Windows ドメイン管理者による推奨される変更を確認します。