Active-Directory-Tipp: So lassen Sie sich die Ereignisprotokolle (Event Logs) Ihres Active Directory anzeigen

In diesem Tipp zeigen wir Ihnen, wie Sie sich die Ereignisprotokolle in Active Directory anzeigen lassen können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:

Natives Auditing mit Windows-Bordmitteln

Die Ereignisprotokolle (Event Logs) von Active Directory lassen sich mit der Ereignisanzeige (Event Viewer) anzeigen, einem nativen von Microsoft bereitgestelltem Tool.
Allerdings müssen Sie dazu zunächst die Überwachungsrichtlinie für Ihre Domäne einschalten:

  • Schritt 1: Starten Sie Ihre Gruppenrichtlinienverwaltung-Konsole (Group Policy Management Console (GPMC)) > Domänenrichtlinie > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinien-/Erweiterte Überwachungsrichtlinienkonfiguration.
  • Schritt 2: Wählen Sie die Ereignisse aus, die Sie überwachen möchten.
  • Schritt 3: Ab jetzt können Sie die von Windows aufgezeichneten AD-Ereignisprotokolle hier abrufen: Verwaltung > Ereignisanzeige
  • Schritt 4: Wählen Sie die Protokolltypen der AD-Überwachung aus, die angezeigt werden sollen (z. B.: Applikation, System etc.).

Sie können die Protokolle so filtern, dass nur die Daten angezeigt werden, die für Sie relevant sind.

Leider ist die Speicherkapazität der Ereignisanzeige für Protokolle auf 4 GB begrenzt, d. h. Protokolle werden bei Bedarf überschrieben. Darüber hinaus macht es das Durcheinander in den Protokollen schwer, sich ein klares Bild von den Ereignissen in der Domäne zu verschaffen. Aufgrund dieser Einschränkungen eignet sich die Ereignisanzeige von Windows nur bedingt als Auditing-Tool für das Active Directory.

Mit ADAudit Plus

Active-Directory-Sicherheitsprotokolle mit ADAudit Plus anzeigen lassen

Mit ADAudit Plus können Sie sich die AD-Ereignisprotokolle in übersichtlichen, kategorisierten Berichten anzeigen lassen. Auf diese Weise können Sie sich das schier endlose Scrollen durch die zahlreichen Sicherheitsprotokolle ebenso sparen wie das zeitaufwändige Herausfiltern relevanter Ereignisse. Auch die Sorge, dass wichtige Ereignisse wegen begrenztem Speicherplatz überschrieben werden, gehört mit ADAudit Plus der Vergangenheit an.

Hier sehen Sie einen Beispielbericht von ADAudit Plus zu Gruppenänderungsereignissen:

ADAudit Plus ermöglicht es Ihnen, diese Protokolle in beliebige SIEM-Tools zu exportieren und lässt sogar den Import von EVT/EVTX-Protokollen aus externen Quellen zu. Alle Berichte können Sie als CSV-, PDF-, XLS- oder HTML-Dateien exportieren und so planen, dass Ihnen diese regelmäßig zu von Ihnen gewählten Zeitpunkten zugesendet werden. Da die Berichte lokal archiviert und gespeichert werden können, müssen sich Administratoren keine Gedanken um Speicherplatzbeschränkungen machen, wie es bei den nativen Windows-Tools der Fall wäre.

Auf diese Weise können Sie auch Protokolle lange zurückliegender Ereignisse so lange archivieren, wie es für forensische Untersuchungen und Compliance erforderlich ist. Das Alarmierungsmodul von ADAudit Plus informiert Sie in Echtzeit über alle kritischen Ereignisse.

ADAudit Plus bietet u. a. folgende Echtzeit-Auditberichte:

Aber das ist noch nicht alles! Ihre AD-Protokolle werden zusätzlich in vorkonfigurierten Compliance-Berichten zusammengefasst, die Sie beim Einhalten von Branchenvorschriften oder gesetzlichen Vorgaben unterstützen.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren