如何检查 AD 服务器上的用户 IP 映射

本文档说明如何检查 AD 服务器上的用户 IP 映射。

在 AD 服务器上, 我们需要创建自定义视图并使用事件 id 4624 进行筛选。

事件 ID 4624

此事件是在创建登录会话时生成的。它是在被访问的计算机上生成的。此事件由安全策略设置审核登录事件控制。

现在您已拥有集中式日志, 您可以设置查看信息的方式。请考虑您可能已经记录了数以千计的不同事件, 其中有数以百计的事件 id。您不希望尝试筛选所有这些事件, 只查找满足特定事件 ID 的事件。你不必这么做!

单击任一审核。在那里, 您应该能够查看用户名以及与之关联的 IP 地址。

下面是示例审核日志:

已成功登录帐户。

主题：

                安全 ID: NULL SID

                账户名称:-

                帐户域:-

                登录 ID: 0x0

登录类型: 3

新登录:

                安全 ID: CSSPAN \ 管理员

                帐户名: 管理员

                帐户域: CSSPAN

                登录 ID: 0x19383cb1

                登录 GUID: {00000000-0000-0000-0000-000000000000}

流程信息:

                进程 ID: 0x0

                进程名称:-

网络信息:

                工作站名称: CHNLAB-FW57

                源网络地址: 10.50.243.57

                源端口: 33960

详细的身份验证信息:

                登录过程: NtLmSsp

                身份验证包: NTLM

                过渡服务:-

                包名称 (仅 ntlm): NTLM V2

                密钥长度: 128

"主题" 字段指示请求登录的本地系统上的帐户。这通常是服务, 如服务器服务, 或本地进程, 如 Winlogon.exe 或 Services.exe。

"登录类型" 字段指示发生的登录种类。最常见的类型是 2 (交互式) 和 3 (网络)。

新登录字段指示创建新登录的帐户, 即已登录的帐户。

网络字段指示远程登录请求的起始位置。工作站名称不总是可用的, 在某些情况下可能会保留为空。

"身份验证信息" 字段提供有关此特定登录请求的详细信息。

                -登录 GUID 是一个唯一标识符, 可用于将此事件与 KDC 事件关联。

                -过渡服务表明哪些中间服务参与了此登录请求。

                -包名称指示在 NTLM 协议中使用了哪些子协议。

                键长度指示生成的会话密钥的长度。如果没有请求会话密钥, 则为0。