用户登录活动的实时审计

最新推荐文章于 2024-04-30 20:41:06 发布
最新推荐文章于 2024-04-30 20:41:06 发布
阅读量236 收藏
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42493507/article/details/127319545
版权

用户访问计算机是各种规模公司的日常任务。乍一看,访问日志可能看起来像简单的 Active Directory 事件,但它们对于系统管理员的各种审计/合规/操作需求很有价值。以下操作需要需要审核 Active Directory 用户登录日志:

  • 员工缺勤和出勤确认
  • 检查访问域控制器的用户数
  • 检测通过远程网络计算机访问工作站或域控制器的用户
  • 识别域内的用户登录高峰时间
  • 确定谁最后登录到关键域计算机
  • 识别是否有用户(恶意用户)尝试登录未经授权的终端

(*通常需要高权限才能登录 Active Directory 域控制器和成员服务器。)

  • 查看域中所有用户的登录历史记录

(*在询问涉嫌不当行为的员工时,员工在工作期间访问和修改的 Active Directory 对象,例如计算机、组和其他用户您需要提供您的帐户信息.)。

 Active Directory

一、为什么您可能需要用于 Active Directory 用户登录审核的工具

Active Directory 登录日志会持续记录在 Active Directory 域控制器安全日志中。域控制器事件查看器中记录的数据特征如下:

二、需要专业知识

要正确阅读事件日志,您必须了解事件 ID 与其他项目(登录类型)之间的相关性。

三、日志数据

大量的 Active Directory 登录活动会持续记录在域控制器上,从而产生大量事件日志数据。

四、访问权限

受限的域控制器是 Active Directory 中的一个关键组件,访问权限主要仅限于管理员。

 ADAudit Plus

Active Directory 提供的事件查看器的另一个限制是它无法跟踪审计员/人力资源人员等非管理用户的登录操作。此外,关键登录事件(例如域控制器/成员服务器上的登录活动)需要在发生异常时立即发出警报和持续审核。但是,在庞大的日志输出中,很可能会忽略这一重要信息。

运维有小邓@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[详细完整版]数据库审计.pptx
06-17
基本概念: 数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、...
linux7
yangying2017的博客
03-28 1754
#第七单元#1.进程定义进程就是cpu未完成的工作2.ps命令ps a ##关于当前环境的所有进程 x ##与当前环境无关的所有进程 f ##显示进程从属关系 e ##显示进程调用环境工具的详细信息 l ##长列表显示进程的详细信息 u ##显示进程的用户信息ps al/af/ [root@localhost ~
开启本地及域控用户登录操作日志审计记录
m0_68941357的博客
11-17 4344
在(控制面板-->系统和安全-->查看事件日志-->Windows日志-->安全)里就能查看到登录日志。时间和登录成功与否都会有记录,再有人动你的电脑你就要采取措施啦!1.输入gpedit.msc 打开组策略管理器。
系统登录审计体系(w last lastb)
redhat_xi的博客
01-11 211
w 查看谁正在使用这个系统 远程登陆下面的设备: 然后就可以看到下面的情况: 会有用户登陆 w -l 显示来源 真机退出 虚拟机可以看到,已经退出 last 查看有什么用户登陆过(登陆成功现在已经退出的) 查看谁试图登陆,但是没有成功: w看的是 /var/run/utmp last看的是 /var/run/wtmp lastb看的是 /var/log/btmp 这三个文件组成了系统登陆审计体系 ...
Linux登录安全及用户操作审计 ,linux下清理日志脚本
weixin_33881050的博客
09-17 261
一、合理使用Shell历史命令记录功能Linux下可通过history命令查看用户所有历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,有时候***会删除.bash_history文件,这就需要合理备份.bash_history文件。下面介绍下history日志文件的安全配置方法。方法一:默认的history命令只能查看用户历史操...
windows日志审计
05-17 9372
简介 运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。 登录类型中较为重要的是网络、网络明文、以及远程交互三种类型,网络最常见的情况就是连接到共享文件夹(IPC)或共享打印机
大势至共享文件审计系统
12-24
“大势至共享文件审计系统”是大势至(北京)软件工程有限公司推出的一款专门用来监视和记录局域网内部用户访问局域网内部服务器、其他主机共享资源的内网共享文件安全审计系统。通过大势至共享文件审计系统你可以...
《网络安全》第十五章-安全审计.pptx
06-07
应能够捕获系统安全策略相关的事件,如成功和失败的登录尝试、执行的操作系统功能等 应用级审计迹:用来检测应用程序内部的安全违规或应用程序与系统交互过程中的缺陷 用户级审计迹:按照时间顺序记录单个用户的活动,...
IAM管理工具_AD360
07-30
从用户配置、自助密码管理和活动目录更改监视,到企业应用程序的单点登录(SSO), AD360通过一个简单易用的界面帮助您执行所有IAM任务。 AD360为Windows活动目录、exchange服务器和Office 365提供了所有这些功能。有...
前端素材bootstrap实现的几种通用的后台管理系统(附带源码)
02-20
应用型的后台管理系统是一种用于管理应用程序、网站或系统的后台界面,通常由开发人员或管理员使用。...日志记录:记录系统的操作日志,包括用户登录日志、操作日志,帮助管理员追踪问题和审计系统操作。
用户的登录审计
sinceNow的博客
10-17 2559
利用用户的登录审计,可以查看到有那些用户远程登录服务器,在一定程度上保证了服务器的安全。 在实验中,我们在真机上上打开两个shell窗口,ctrl+shift+t可以开启两个并列的shell窗口    1.分别远程登录两个虚拟机[email protected][email protected] [kiosk@foundation60 Desktop]$ ssh root@17...
mysql 审计功能windows系统
热门推荐
雨夜青草的博客
09-19 1万+
mysql的审计功能,主要可以记录下对数据库的所有操作,包括登录、连接、对表的增删改查等。根据mysql版本的不同有两种分为企业版和社区版,审计功能目前在网上找到的基本都是基于linux系统的很崩溃,为了下载一个windows系统的插件楼主找了好久。本文主要讲解的是基于windows系统的。 a、企业版 MySQL Enterprise Edition(收费)自带AUDIT审计功能。 b、社区
美国站群服务器的定义、功能以及在网站运营中的应用
zonghengcloud的博客
04-30 145
在当今互联网的蓬勃发展中,站群服务器已成为网站运营和SEO优化中不可或缺的重要工具之一。尤其是美国站群服务器,在全球范围内备受关注。本文将深入探讨美国站群服务器的定义、功能以及在网站运营中的应用。美国站群服务器的定义、功能以及在网站运营中的应用美国站群服务器的定义美国站群服务器是指位于美国境内的多台服务器组成的网络群组或集群。这些服务器可以部署在不同的地理位置或不同的数据中心,但它们共享同一个管理控制面板或管理系统。站群服务器的主要目的是通过集中管理和资源共享来提高网站的效率和性能。美国站群服务器的作用。
【勒索病毒恢复】.svh勒索病毒介绍及恢复方案
safe130的博客
04-23 864
halo,.360,.faust,.eking,.wis,.mkp,.malox,.rmallox,.mallox,ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .datah等等,请注意,恢复被勒索病毒加密的数据并非总是成功,且过程中可能存在数据丢失或损坏的风险。为了防范svh勒索病毒的感染,用户应该保持警惕,不轻易打开未知来源的邮件附件或点击不明链接,同时定期更新和修补电脑上的软件漏洞,使用强密码,并启用防火墙等安全防护措施。
华纳云:服务器DDoS攻击有哪些类型?
YOKEhn的博客
04-30 139
DNS Amplification 攻击是利用 DNS(域名系统)服务器的开放递归解析功能,向大量的开放 DNS 服务器发送 DNS 查询请求,伪造源 IP 地址为目标服务器的 IP 地址,使得大量的响应数据被发送到目标服务器,从而使目标服务器消耗大量的带宽和资源。类似于 DNS Amplification 攻击,NTP Amplification 攻击利用网络时间协议(NTP)服务器的开放性,向 NTP 服务器发送大量的查询请求,并将响应数据发送到目标服务器,以消耗目标服务器的带宽和资源。
Grafana 添加一台管理服务器
jekc2008的专栏
04-30 80
1、修改prometheus.yml。3、导入node文件。
快速了解Linux IPC
最新发布
wJen的博客
04-30 718
简单介绍了Linux IPC以便快速了解基本内容。
【大模型应用】Ollama本地大模型服务器及其C#客户端测试
cxyhjl的博客
04-27 211
前言在工业领域,本地开源大模型的潜在应用场景非常多样,一些不那么显而易见的可能包括:智能柔性装配:大模型可以应用于生产线的智能化改造,通过理解和生成工业执行指令,实现柔性化的装配和生产。工业企业智能中台:大模型可以作为企业智能中台的核心,整合分散的数据,提供辅助决策和运筹规划,从而提高整体运营效率。质量检测与安全监测:结合视觉传感技术,大模型可以对指定区域或人员进行实时监测,快速发现异常信息,降低...
香港BGP服务器和香港双线服务器的区别
JttiSEO的博客
04-30 97
香港BGP服务器采用BGP(边界网关协议)技术,通常连接到多个不同的网络服务提供商(ISP),并通过BGP协议动态选择最优的网络路径。虽然也提供了一定程度的冗余和备份,但相比于BGP服务器,双线服务器的网络连接方式更为简单,可能会有一定程度的单点故障风险。相比之下,双线服务器的成本可能会更为适中,但在一些对网络连接稳定性要求较高的应用场景下,可能需要额外考虑BGP服务器的投入。而香港双线服务器虽然具有一定程度的冗余和备份,但在某些情况下可能仍然会受到单个网络提供商的影响,造成网络性能下降或服务中断的风险。
利用rsyslog 对Linux用户进行审计
06-07
可以通过配置rsyslog来对Linux用户进行审计。具体步骤如下: ...之后,所有用户活动都将被记录在/var/log/user.log文件中,包括用户登录、注销、执行命令等。可以通过查看日志文件来审计用户的活动记录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值