Cómo comprobar las asignaciones de IP de usuario en un servidor de anuncios

En este documento se explica cómo comprobar las asignaciones de IP de usuario en el servidor de anuncios.

En el servidor de anuncios necesitamos crear una vista personalizada y filtrar con el ID de evento de 4624.

ID de evento 4624

Este evento se genera cuando se crea una sesión de inicio de sesión. Se genera en el ordenador al que se ha accedido. Este evento está controlado por la Directiva de seguridad estableciendo eventos de inicio de sesión de auditoría.

Ahora que tiene el registro centralizado, puede configurar cómo desea ver la información. Tenga en cuenta que es posible que se registren miles de eventos diferentes, con cientos de identificadores de eventos. Usted no querrá intentar y tamizar a través de todos estos eventos sólo en busca de aquellos eventos que cumplen con un identificador de evento específico. ¡ no tienes que hacer eso!

Haga clic en cualquiera de las auditorías. Allí usted debe ser capaz de ver el nombre de usuario, así como la dirección IP asociada con él.

Aquí está el registro de auditoría de ejemplo:

Una cuenta se inició correctamente.

Asunto:

                ID de seguridad: null SID

                Nombre de la cuenta:-

                Dominio de cuenta:-

                ID de inicio de sesión: 0X0

Tipo de inicio de sesión: 3

Nuevo inicio de sesión:

                ID de seguridad: CSSPAN\administrator

                Nombre de cuenta: administrador

                Dominio de cuenta: CSSPAN

                ID de inicio de sesión: 0x19383cb1

                GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}

Información del proceso:

                ID de proceso: 0X0

                Nombre del proceso:-

Información de la red:

                Nombre de estación de trabajo: CHNLAB-FW57

                Dirección de red de origen: 10.50.243.57

                Puerto fuente: 33960

Información de autenticación detallada:

                Proceso de inicio de sesión: NTLMSSP

                Paquete de autenticación: NTLM

                Servicios transitados:-

                Nombre del paquete (sólo NTLM): NTLM v2

                Longitud dominante: 128

Los campos de asunto indican la cuenta en el sistema local que solicitó el inicio de sesión. Esto es más comúnmente un servicio como el servicio de servidor, o un proceso local como Winlogon. exe o Services. exe.

El campo tipo de inicio de sesión indica el tipo de inicio de sesión que se produjo. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los nuevos campos de inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, la cuenta en la que se inició la sesión.

Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. El nombre de la estación de trabajo no siempre está disponible y puede dejarse en blanco en algunos casos.

Los campos de información de autenticación proporcionan información detallada acerca de esta solicitud de inicio de sesión específica.

                -El GUID de inicio de sesión es un identificador único que se puede utilizar para correlacionar este evento con un evento KDC.

                -Los servicios transitados indican qué servicios intermedios han participado en esta solicitud de inicio de sesión.

                -El nombre del paquete indica qué sub-Protocolo se usó entre los protocolos NTLM.

                -La longitud de la clave indica la longitud de la tecla de sesión generada. Esta será 0 si no se solicitó ninguna tecla de sesión