Active-Directory-Tipp: So lassen Sie sich die Ereignisprotokolle (Event Logs) Ihres Active Directory anzeigen
In diesem Tipp zeigen wir Ihnen, wie Sie sich die Ereignisprotokolle in Active Directory anzeigen lassen können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:
Natives Auditing mit Windows-Bordmitteln
Die Ereignisprotokolle (Event Logs) von Active Directory lassen sich mit der Ereignisanzeige (Event Viewer) anzeigen, einem nativen von Microsoft bereitgestelltem Tool.
Allerdings müssen Sie dazu zunächst die Überwachungsrichtlinie für Ihre Domäne einschalten:
- Schritt 1: Starten Sie Ihre Gruppenrichtlinienverwaltung-Konsole (Group Policy Management Console (GPMC)) > Domänenrichtlinie > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinien-/Erweiterte Überwachungsrichtlinienkonfiguration.
- Schritt 2: Wählen Sie die Ereignisse aus, die Sie überwachen möchten.
- Schritt 3: Ab jetzt können Sie die von Windows aufgezeichneten AD-Ereignisprotokolle hier abrufen: Verwaltung > Ereignisanzeige
- Schritt 4: Wählen Sie die Protokolltypen der AD-Überwachung aus, die angezeigt werden sollen (z. B.: Applikation, System etc.).
Sie können die Protokolle so filtern, dass nur die Daten angezeigt werden, die für Sie relevant sind.
Leider ist die Speicherkapazität der Ereignisanzeige für Protokolle auf 4 GB begrenzt, d. h. Protokolle werden bei Bedarf überschrieben. Darüber hinaus macht es das Durcheinander in den Protokollen schwer, sich ein klares Bild von den Ereignissen in der Domäne zu verschaffen. Aufgrund dieser Einschränkungen eignet sich die Ereignisanzeige von Windows nur bedingt als Auditing-Tool für das Active Directory.
Mit ADAudit Plus
Active-Directory-Sicherheitsprotokolle mit ADAudit Plus anzeigen lassen
Mit ADAudit Plus können Sie sich die AD-Ereignisprotokolle in übersichtlichen, kategorisierten Berichten anzeigen lassen. Auf diese Weise können Sie sich das schier endlose Scrollen durch die zahlreichen Sicherheitsprotokolle ebenso sparen wie das zeitaufwändige Herausfiltern relevanter Ereignisse. Auch die Sorge, dass wichtige Ereignisse wegen begrenztem Speicherplatz überschrieben werden, gehört mit ADAudit Plus der Vergangenheit an.
Hier sehen Sie einen Beispielbericht von ADAudit Plus zu Gruppenänderungsereignissen:
ADAudit Plus ermöglicht es Ihnen, diese Protokolle in beliebige SIEM-Tools zu exportieren und lässt sogar den Import von EVT/EVTX-Protokollen aus externen Quellen zu. Alle Berichte können Sie als CSV-, PDF-, XLS- oder HTML-Dateien exportieren und so planen, dass Ihnen diese regelmäßig zu von Ihnen gewählten Zeitpunkten zugesendet werden. Da die Berichte lokal archiviert und gespeichert werden können, müssen sich Administratoren keine Gedanken um Speicherplatzbeschränkungen machen, wie es bei den nativen Windows-Tools der Fall wäre.
Auf diese Weise können Sie auch Protokolle lange zurückliegender Ereignisse so lange archivieren, wie es für forensische Untersuchungen und Compliance erforderlich ist. Das Alarmierungsmodul von ADAudit Plus informiert Sie in Echtzeit über alle kritischen Ereignisse.
ADAudit Plus bietet u. a. folgende Echtzeit-Auditberichte:
- Überwachung der Benutzeranmeldungen
- Dateiserver-Audits
- Auditing von AD-Objekten
- Windows-Server-Auditing
- Auditierung von Wechseldatenträgern
Aber das ist noch nicht alles! Ihre AD-Protokolle werden zusätzlich in vorkonfigurierten Compliance-Berichten zusammengefasst, die Sie beim Einhalten von Branchenvorschriften oder gesetzlichen Vorgaben unterstützen.
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Weitere Active-Directory-Tipps: