Допиливаю на работе мониторинг Zabbix и нужно мне было из журнала событий windows дернуть пару кодов чтобы их отслеживать, но вот незадача , пока копался на контроллере домена что то отключил и перестали записывать события.
Отключение и включение в управление групповой политики объектов которые у меня были ни к чему не привели, в итоге прокопавшись почти весь день к вечеру нашел как это можно починить,
ключевое слово починить , т.е. как это произошло и что повлияло так и останется загадкой, но моя задача быстрей приступить к настройке забикса чтобы отлавливать инциденты, а это тогда останется тайной)
Перед тем как приступить, я опишу как я наткнулся на решение проблемы, в момент когда я запускал на контроллере домена команду в терминале или powershell
1 часть
gpupdate /forceв журнал за небольшой период пока идет обновление происходило добавление событий в журнал безопасности, а как только гпапдейт переставал работать то соответственно на этом все и прекращалось
тут мне на помощь пришла команда
auditpol /get /category:*вывод у этой команды такой:
Вывод команды auditpol
PS C:\Users\ОдмиН> auditpol /get /category:*
Политика аудита системы
Категория или подкатегория Параметр
Система
Расширение системы безопасности Без аудита
Целостность системы Без аудита
Драйвер IPSEC Без аудита
Другие системные события Без аудита
Изменение состояния безопасности Без аудита
Вход/выход
Вход в систему Без аудита
Выход из системы Без аудита
Блокировка учетной записи Без аудита
Основной режим IPsec Без аудита
Быстрый режим IPsec Без аудита
Расширенный режим IPsec Без аудита
Специальный вход Без аудита
Другие события входа и выхода Без аудита
Сервер сетевых политик Без аудита
Заявки пользователей или устройств на доступБез аудита
Членство в группа Без аудита
Доступ к объектам
Файловая система Без аудита
Реестр Без аудита
Объект-задание Без аудита
SAM Без аудита
Службы сертификации Без аудита
Создано приложением Без аудита
Работа с дескриптором Без аудита
Общий файловый ресурс Без аудита
Отбрасывание пакета платформой фильтрацииБез аудита
Подключение платформы фильтрации Без аудита
Другие события доступа к объекту Без аудита
Сведения об общем файловом ресурсе Без аудита
Съемные носители Без аудита
Сверка с централизованной политикой Без аудита
Использование прав
Использование прав, не затрагивающее конфиденциальные данныеБез аудита
Другие события использования прав Без аудита
Использование прав, затрагивающее конфиденциальные данныеБез аудита
Подробное отслеживание
Создание процесса Без аудита
Завершение процесса Без аудита
Активность DPAPI Без аудита
События RPC Без аудита
Самонастраиваемые события Без аудита
События изменений прав маркера Без аудита
Изменение политики
Аудит изменения политики Без аудита
Изменение политики проверки подлинности Без аудита
Изменение политики авторизации Без аудита
Изменение политики правила уровня MPSSVCБез аудита
Изменение политики платформы фильтрации Без аудита
Другие события изменения политики Без аудита
Учетные записи
Управление учетной записью компьютера Без аудита
Управление группой безопасности Без аудита
Управление группой распространения Без аудита
Управление группой приложений Без аудита
Другие события управления учетной записьюБез аудита
Управление учетными записями Без аудита
Доступ к службе каталогов (DS)
Доступ к службе каталогов Без аудита
Изменения службы каталогов Без аудита
Репликация службы каталогов Без аудита
Подробная репликация службы каталогов Без аудита
Вход учетной записи
Операции с билетами службы Kerberos Без аудита
Другие события входа учетных записей Без аудита
Служба проверки подлинности Kerberos Без аудита
Проверка учетных данных Без аудита
а когда в момент запуска gpupdate /force я в другом терминале я быстро запускал auditpol /get /category:* то вывод был уже таким
Вывод команды auditpol с gpupdate
PS C:\Users\ОдмиН> auditpol /get /category:*
Политика аудита системы
Категория или подкатегория Параметр
Система
Расширение системы безопасности Без аудита
Целостность системы Без аудита
Драйвер IPSEC Без аудита
Другие системные события Без аудита
Изменение состояния безопасности Без аудита
Вход/выход
Вход в систему Успех и сбой
Выход из системы Успех
Блокировка учетной записи Без аудита
Основной режим IPsec Без аудита
Быстрый режим IPsec Без аудита
Расширенный режим IPsec Без аудита
Специальный вход Без аудита
Другие события входа и выхода Без аудита
Сервер сетевых политик Без аудита
Заявки пользователей или устройств на доступБез аудита
Членство в группа Без аудита
Доступ к объектам
Файловая система Без аудита
Реестр Без аудита
Объект-задание Без аудита
SAM Без аудита
Службы сертификации Без аудита
Создано приложением Без аудита
Работа с дескриптором Без аудита
Общий файловый ресурс Без аудита
Отбрасывание пакета платформой фильтрацииБез аудита
Подключение платформы фильтрации Без аудита
Другие события доступа к объекту Без аудита
Сведения об общем файловом ресурсе Без аудита
Съемные носители Без аудита
Сверка с централизованной политикой Без аудита
Использование прав
Использование прав, не затрагивающее конфиденциальные данныеБез аудита
Другие события использования прав Без аудита
Использование прав, затрагивающее конфиденциальные данныеБез аудита
Подробное отслеживание
Создание процесса Без аудита
Завершение процесса Без аудита
Активность DPAPI Без аудита
События RPC Без аудита
Самонастраиваемые события Без аудита
События изменений прав маркера Без аудита
Изменение политики
Аудит изменения политики Без аудита
Изменение политики проверки подлинности Без аудита
Изменение политики авторизации Без аудита
Изменение политики правила уровня MPSSVCБез аудита
Изменение политики платформы фильтрации Без аудита
Другие события изменения политики Без аудита
Учетные записи
Управление учетной записью компьютера Без аудита
Управление группой безопасности Без аудита
Управление группой распространения Без аудита
Управление группой приложений Без аудита
Другие события управления учетной записьюБез аудита
Управление учетными записями Без аудита
Доступ к службе каталогов (DS)
Доступ к службе каталогов Без аудита
Изменения службы каталогов Без аудита
Репликация службы каталогов Без аудита
Подробная репликация службы каталогов Без аудита
Вход учетной записи
Операции с билетами службы Kerberos Успех и сбой
Другие события входа учетных записей Без аудита
Служба проверки подлинности Kerberos Успех и сбой
Проверка учетных данных Без аудита
в тексте без форматирования тут не увидишь то примерно там так было (см. скрин)
как можно увидеть, тут у нас есть различие в списках между запущенными в gpupdate и после, от сюда делаем вывод что у нас идет какой то конфликт в групповых политиках и теперь мы переходим ко второй части
2 часть
теперь мы знаем что проблема у нас в какой то из групповых политиках и мы должны узнать какая из групповых политиках применяется у нас на контроллер домена, для этого мы открывает терминал или повершел и запускаем команду
gpresult /rМы получим список всех политик которые применяются и нам надо начать с самой первой и смотреть что у нас там есть связанной с аудитом
самая первая политика Default Domain Controller Policy
и забегаю вперед в этой политики после того как я проставил аудиты , у меня сразу посыпались записи в журнал безопасность и теперь я могу дальше продолжать настроить свой Zabbix для мониторинга сетевой инфраструктуры
Часть 3
теперь отлавливаем события
| ID | Что означает |
|---|---|
| 4625 | Неудачный вход в систему |
| 4624 | Успешный вход |
| 4768 | Запрос Kerberos-билета (вход в домен) |
| 4771 | Ошибка проверки Kerberos (например – неверный пароль) |
| 4776 | Проверка NTLM-подлинности (старые клиенты) |
и пихаем их в Zabbix )
Добавить комментарий