IP ID 在监控域控制器安全日志时，用户代理未发现用户对映射

• 用户 ID 代理不会 IP 从阅读一个或多个 Windows 域控制器的安全日志中找到任何用户对映射。
• 用户 ID 代理诊断日志包含读取安全日志消息，但没有其他相关日志：

[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 1 security logs takes 32 ms for DC ...
[Debug 285]: Reading 4 security logs takes 953 ms for DC ...

• 如果用户 ID 代理没有其他识别用户的方法，如探测或服务器会话读取，则用户代理的监控选项卡下将不显示任何用户 ip 映射 ID 。

• 一个尼 PAN-OS
• 用户 ID 代理
• 活动目录

在没有任何附带相关日志的情况下，读取安全日志消息表明，用户 ID 代理没有发现代理在域控制器的安全日志中监视的事件 ID 的任何审计成功日志。

以下是用户 ID 代理在从 Windows 2008 域控制器中阅读时发出的日志，这些日志通常涉及这些事件 ID：

[Debug  321]: LOGON_SUCCESS_W2008(4624) from domain controller 0: ....
[Debug  321]: SERVICE_TICKET_GRANTED_W2008(4769) from domain controller 0: ....
[Debug  321]: TICKET_GRANTED_RENEW_W2008(4770) from domain controller 0: ....

如果不存在上述日志，但用户 ID 代理正在读取安全日志，则这意味着域控制器未配置以审核必要的事件。使用 Windows 域控制器上的事件查看器程序搜索安全日志并验证是否未看到事件。

1. 检查 Policy 域控制器或域控制器的本地安全，看看是否配置了适当的审核操作，以便将必要的事件 ID 写入安全日志。
2. 请查看 Policy 域控制器本地安全的以下位置： 安全设置>本地策略>审核策略。
3. 有两种策略可以检查采取了什么审核操作:
   • 审核帐户登录事件
   • 审核登录事件
4. 确保每个记录成功都打开 policy 。
5. 如果有许多域控制器，则可以通过组管理将这些相同的设置通过编辑域组 Policy 对象中的默认域控制器推入 Policy 域中的所有 Policy 域控制器。

注意： 请注意，本文档中建议的更改用于与用户代理上的设置无关的 Windows 域名控制器中的设置 ID 。 使用 Windows 域管理员查看建议的更改。