উইন্ডোজ ডোমেন কন্ট্রোলারে ব্যবহারকারী লগইন সনাক্ত করুন

7

আমি উইন্ডোজ ডিসিতে একটি ব্যবহারকারী লগইন ইভেন্ট সনাক্ত করার চেষ্টা করছি (উইন সার্ভার ২০১২), তবে আমার নিম্নলিখিত সমস্যাগুলি রয়েছে:

  • 4624 ইভেন্টটি সত্যই নির্দিষ্ট নয় কারণ এটি স্বয়ংক্রিয়ভাবে উত্পন্ন হতে পারে। উদাহরণস্বরূপ যখন গোষ্ঠী নীতি স্বয়ংক্রিয়ভাবে সতেজ হয়

  • স্থানীয় কম্পিউটার ব্যবহারকারীর জন্য শংসাপত্রগুলি ক্যাশে করে থাকতে পারে যাতে ব্যবহারকারী লগন ডিসি দ্বারা সনাক্ত না করে।

আমার প্রধান লক্ষ্য হ'ল কোনও ব্যবহারকারী যখন কাজের সময় থেকে তার কম্পিউটারে অ্যাক্সেস করেন, তখন সেই ব্যবহারকারীরা বেলা ২-7 টার মধ্যে ক্রিয়াকলাপ করছেন। এছাড়াও, আমার একমাত্র ডেটা সোর্স হ'ল .evtx ফাইলগুলি ডোমেন কন্ট্রোলারে উত্পন্ন।

windows  login  logging  windows-server-2012  event-log 
DiegoS
সূত্র
4
সম্ভাব্যভাবে বিবেচনা করার মতো কিছু হ'ল ব্যবহারকারীর অ্যাকাউন্টগুলিকে একটি লগইন স্ক্রিপ্ট ব্যবহার করা এবং এতে কোনও যুক্তি যুক্ত করা যাতে কোনও লুকানো ভাগ বা কোনও কিছুর জন্য লগ ফাইলের মধ্যে কিছু রাখা যায়। আরেকটি বিষয় বিবেচনা করা হ'ল এডি ব্যবহারকারী এবং কম্পিউটারগুলিতে নির্দিষ্ট অ্যাকাউন্টগুলির জন্য নির্দিষ্ট সময়ে লগইনকে অস্বীকার করা যদি আপনি সেই সময়ে লগইন না করে থাকেন তবে আপনি লগ ইন খনন করার পরিবর্তে এটি সম্পূর্ণরূপে রোধ করার জন্য একটি নীতি প্রয়োগ করতে পারেন, সন্ধান করুন কে এই কাজ করেছে তা প্রকাশ করুন, তাদের প্রতিবেদন করুন বা তাদের সাথে এ সম্পর্কে কথা বলুন ইত্যাদি সত্যতার পরে। বিষয়টিতে মাত্র কয়েক দম্পতি দ্রুত চিন্তাভাবনা।
পিম্প জুস আইটি
1
আপনার কি একাধিক ডিসি আছে? যদি তা হয় তবে লগন ইভেন্টগুলির জন্য আপনাকে সেগুলির সমস্তটি পর্যবেক্ষণ করতে হবে যদি না আপনি গ্যারান্টি দিতে না পারেন তবে কোন ডিসি ব্যবহারকারীর অনুমোদনের জন্য ব্যবহৃত হবে।
টুইস্টি ইমপারসোনেটর
আপনার যদি শুধুমাত্র তথ্য উৎস একটি ডিসি থেকে ইভেন্ট লগ ডেটা হয়, তাহলে আপনি না ক্যাপচার যথেষ্ট তথ্য এক্সেস আছে সব প্রাসঙ্গিক লগঅন ইভেন্ট নেই। আপনি কি নিশ্চিত যে আপনি আপনার ক্যোয়ারীতে ব্যবহারকারীর ওয়ার্কস্টেশন দ্বারা ক্যাপচারিত ইভেন্টগুলি অন্তর্ভুক্ত করতে পারবেন না?
টুইস্টি ইম্পারসনেটর 16
অনেকগুলি ওয়ার্কস্টেশন রয়েছে, আমি একটি লগ হাব ব্যবহার করে একটি সমাধানে ভাবতে পারি, এটি তৃতীয় পক্ষের সরঞ্জামগুলি ব্যবহার না করেই কি সম্ভব?
দিয়েগোএস
দিয়েগো - আপনি বলছেন "আমার মূল লক্ষ্য হ'ল কোনও ব্যবহারকারী যখন কাজের সময় থেকে তার কম্পিউটারে অ্যাক্সেস করেন" তাই আমি উত্সাহিত যে এই অ-কাজের সময় আপনি লগইন করেছেন এমন ডেটা সংগ্রহ করবেন কি? অতিরিক্ত হিসাবে, আপনি এটি চালানোর জন্য একটি লগইন স্ক্রিপ্ট সেটআপ করতে পারেন যে এটি যদি স্থানীয় লগ ফাইলটিতে লগ করে থাকে ডিসি বা গোপন ভাগ খুঁজে না পায় এবং সেখানে লজিক থাকে যাতে লুকানো ভাগ পাওয়া যায় তবে এটি সর্বশেষ লোকালটির অনুলিপি করুন একই ভাগ লগইন ফাইল কিন্তু একটি পৃথক সাবফোল্ডার সম্ভবত এবং লগ নাম সম্ভবত হতে পারে %computername%.log। এটি ক্যাশেড লগইন প্রদর্শন করবে।
পিম্প জুস আইটি

উত্তর:

2

আপনি যেমন বলেছিলেন, ডিসি কোনও ক্যাশেড শংসাপত্র সহ দূরবর্তী কম্পিউটারে লগইনগুলি ক্যাপচার করে না, কারণ কম্পিউটারটি সর্বদা ডোমেনের সাথে শারীরিকভাবে সংযুক্ত নাও হতে পারে। পরিবর্তে, কম্পিউটারটি অনলাইনে থাকাকালীন আপনাকে সরাসরি তার কম্পিউটারটি পরীক্ষা করতে হবে।

রিমোট কম্পিউটারে ইভেন্ট লগ পরিচালনা করতে আপনি কমান্ড প্রম্পটে ইভেন্ট ভিউয়ার বা ওয়েভটুইল কমান্ডটি ব্যবহার করতে পারেন।

  1. ইভেন্ট ভিউয়ার শুরু করুন।
  2. কনসোল ট্রিতে উদাহরণস্বরূপ ইভেন্ট ভিউয়ার (স্থানীয়) উদাহরণ হিসাবে রুট নোডটি ক্লিক করুন ।
  3. উপর অ্যাকশন মেনু ক্লিক আরেকটি কম্পিউটারের সাথে সংযুক্ত
  4. ইন অন্য কম্পিউটারে বক্স , দূরবর্তী কম্পিউটারের নাম বা আইপি ঠিকানাটি টাইপ করুন।
  5. (Alচ্ছিক) অন্য ব্যবহারকারী হিসাবে সংযুক্ত নির্বাচন করুন , ব্যবহারকারী সেট করুন ক্লিক করুন , ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন এবং তারপরে ওকে ক্লিক করুন
  6. ঠিক আছে ক্লিক করুন

উত্স: একটি রিমোট কম্পিউটারে ইভেন্ট লগগুলির সাথে কাজ করুন - মাইক্রোসফ্ট টেকনেট

ইভেন্টের জন্য অনুসন্ধান করুন 4648 - একটি লগন তার কম্পিউটারে সুস্পষ্ট শংসাপত্রগুলি ব্যবহার করার চেষ্টা করা হয়েছিল

যেমন বর্ণনাটি বলেছে, এটি তখনই যখন লগন সুস্পষ্ট শংসাপত্রগুলি ব্যবহার করে। এই ইভেন্টটি এমনকি সংরক্ষিত শংসাপত্রগুলির (যেমন: রিমোট ডেস্কটপ) লগ ইন বা আনলক করার সময় উত্পন্ন হয়েছিল।

দ্রষ্টব্য: যে কোনও ইভেন্টের মতো আপনি যে কোনও স্বয়ংক্রিয়ভাবে উত্পন্ন ইভেন্টগুলি (4648 এবং ব্যবহারকারীর ব্যবহারকারীর সাথে কম সাধারণ) সরাতে অতিরিক্ত ফিল্টারিং করতে পারেন। জিইউআই (ফিল্টার ট্যাবে) কিছু ক্ষেত্রে ফিল্টারিং সরবরাহ করে। এক্সএমএল ট্যাব ব্যবহার করে, আপনি ইভেন্টের মধ্যে যে কোনও ক্ষেত্রে ফিল্টার করতে পারেন।

স্টিভেন
সূত্র
4648 ডোমেনে ওয়ার্কস্টেশনগুলি থেকে লগইন পাচ্ছে না, এটি কেবল সার্ভারে (ডিসি) স্পষ্টভাবে লগইনগুলি পাচ্ছে।
ডিয়েগো
আপনাকে সম্ভবত তার কম্পিউটারে লগগুলি পরীক্ষা করতে হবে। সম্পাদিত উত্তর দেখুন।
স্টিভেন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.