Wie Sie die IP-Mappings von Nutzern auf einem Anzeigenserver überprüfen

Dieses Dokument erklärt, wie man IP-Mappings auf dem Anzeigenserver prüft.

Auf dem Anzeigenserver müssen wir mit der Event-ID von 4624 eine eigene Ansicht erstellen und filtern.

Event ID 4624

Dieses Ereignis wird generiert, wenn eine Logon-Session erstellt wird. Es wird auf dem Computer erzeugt, auf den zugegriffen wurde. Diese Veranstaltung wird durch die sicherheitspolitischen Einstellungs-Anmelde Veranstaltungen gesteuert.

Nun, da Sie Ihr zentralisiertes Protokoll haben, können Sie festlegen, wie Sie die Informationen sehen möchten. Denken Sie daran, dass Sie Tausende von verschiedenen Ereignissen protokolliert haben könnten, mit Hunderten von Event-IDs. Sie möchten nicht versuchen, all diese Ereignisse zu durchsickern, nur auf der Suche nach den Ereignissen, die eine bestimmte Event-ID treffen. Das muss man nicht machen!

Klicken Sie auf eine der Audits. Dort sollten Sie den Benutzernamen sowie die damit verbundene IP-Adresse einsehen können.

Hier ist das Sample Audit Log:

Ein Konto wurde erfolgreich angemeldet.

Betreff:

                Security ID: NULL sid

                Konto Name:-

                Konto Domain:-

                Logon ID: 0x0

Anmelde Typ: 3

Neue Anmeldung:

                Security ID: csspan\administrator

                Konto Name: Administrator

                Konto Domain: csspan

                Logon ID: 0x19383cb1

                Logon GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:

                Prozess-ID: 0x0

                Prozess Name:-

Netzwerkinformationen:

                Workstation Name: chnlab-FW57

                Quelle-Netzwerk-Adresse: 10.50.243.57

                Quelle Port: 33960

Detaillierte Authentifizierungsinformationen:

                Logon Process: NTLMSSP

                Authentifizierungs Paket: NTLM

                Transited Services:-

                Paketname (nur NTLM): NTLM v2

                Schlüssellänge: 128

Die BetreffFelder geben das Konto auf dem lokalen System an, das die Anmeldung angefordert hat. Dies ist am häufigsten ein Dienst wie der Server-Dienst, oder ein lokaler Prozess wie Winlogon. exe oder Services. exe.

Das Logon-Typ-Feld zeigt die Art der Anmeldung an, die aufgetreten ist. Die gängigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die neuen Anmelde Felder geben das Konto an, für das die neue Anmeldung erstellt wurde, also das Konto, das angemeldet wurde.

Die Netzwerk Felder geben an, wo eine entfernte Anmelde Anfrage entstand. Der Workstation-Name ist nicht immer verfügbar und kann in einigen Fällen leer bleiben.

Die Authentifizierungs Informationsfelder geben detaillierte Informationen zu dieser speziellen Anmelde Anfrage.

                -Logon GUID ist eine eindeutige Kennung, die verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.

                -Transited-Dienste geben an, welche zwischen Dienste an dieser Anmelde Anfrage teilgenommen haben.

                -Der Paketname gibt an, welches unter Protokoll unter den NTLM-Protokollen verwendet wurde.

                -Die Schlüssellänge gibt die Länge des erzeugten Sitzungsschlüssels an. Dies wird 0 sein, wenn kein Sitzungsschlüssel angefordert wurde