5
マルチドメイン設定では、中央の場所でセキュリティファイルアクセス監査イベントを収集したいと考えています。ActiveDirectoryでは、セキュリティ監査イベントはドメインコントローラのイベントログにどのように送信されますか?メカニズムはどのようにスケールされますか?
ActiveDirectoryでは、GPOを作成してドメインコントローラでファイルアクセス監査を有効にすることができます。 また、ドメインの1つのメンバである別の 'ファイルサーバー'コンピュータで、監査するファイルシステムオブジェクトでSACLを構成する必要があります(ネットワーク共有に含まれています)。
これが完了すると、ファイルアクセスイベントが記録され、何とかして魔法のようにドメインコントローラのイベントログに転送されます。
私が本当に知りたい:
- どのようにしてこれらのイベントが転送されますか?転送 は暗号化されていますか?
- ドメインコントローラー以外に、これらのイベントの別の(追加の)受信者を直接選択することはできますか?後でこれらのログイベントを転送することは可能ですが、デフォルトではドメインコントローラに転送されるのでしょうか?暗黙の転送が設定されていますか?
- ネットワーク負荷に関して、どのくらいのトラフィックが生成されますか?
私の経験から、2つの一般的なアプローチがあります:最初の1つは、すべてのDCのWindowsセキュリティログからイベントを収集し、それらのイベントを共通のリポジトリに送信するWindowsサービスを作成することです。 2番目の方法は、カーネルモードのファイルシステムドライバを作成し、それを監視するすべてのファイルサーバーに実装することです。ドライバは着信ファイルシステム要求をインターセプトし、対応するイベントを記録します。また、同じ共有にWindowsサービスをインストールする必要があります。共有はイベントを共通のリポジトリに送信します。このアプローチは、開発の1年と多くのBSODsを取ることができます – oldovets
しかし、これらはすべて組み込みのWindows機能です、なぜあなた自身のソフトウェアを書くでしょうか? – mischka
あなたの目標がリアルタイムモニタリング(イベントログ収集の場合にはリアルタイムに近い)である場合、プログラマの観点から考えてみてください。もちろん、イベント購読などの組み込み機能(DCがすべて2008年以上の場合)を使用することも、ログ自動バックアップを設定してeを介してすべてのバックアップを共通リポジトリに移動することもできます。 g。スケジュールタスク。これらの組み込み機能がニーズに合わない理由を教えてください。 – oldovets