В многодоменном режиме я хочу собирать события аудита доступа к файлам безопасности в центральном месте.В ActiveDirectory, как события аудита безопасности передаются в журнал событий контроллера домена? Как механизм масштабируется?
В ActiveDirectory можно включить аудит доступа к файлам в контроллере домена, создав объект групповой политики. Кроме того, на другом компьютере с файловым сервером, который является членом одного из доменов, SACL должен быть настроен на объекты файловой системы, которые я хочу пройти аудит (и которые включены в общий сетевой ресурс).
После этого события доступа к файлу записываются и как-то магически передаются в журнал событий контроллера домена.
Я действительно хотел бы знать:
- Как и когда эти события переданы? Является ли передача зашифрованной?
- Можно ли напрямую выбрать другой (дополнительный) приемник этих событий, кроме контроллера домена? Я знаю, что позже можно переслать эти события журналов, но по умолчанию они пересылаются контроллеру домена? Существует ли неявная переадресация?
- Сколько трафика будет создано в отношении сетевой нагрузки?
По моему опыту, существует два распространенных подхода: первым из них является запись службы Windows, которая будет собирать события из журнала безопасности Windows на каждом DC и отправлять эти события в общий репозиторий. Второй подход - создать драйвер файловой системы в режиме ядра, реализовать его на всех файловых серверах, которые вы хотите контролировать. Драйвер будет перехватывать входящие запросы файловой системы и регистрировать соответствующие события. Также сервисы Windows должны быть установлены на одном и том же ресурсе, который будет отправлять события в общий репозиторий. Этот подход может занять до 1 года разработки и много BSOD. – oldovets
Но все это встроенные функции Windows, почему бы вам написать собственное программное обеспечение? – mischka
Мысль об этом с точки зрения программистов, если ваша цель - мониторинг в реальном времени (близко к реальному времени в случае сбора журнала событий).Конечно, вы можете использовать встроенные функции, такие как подписки на события (если все ваши контроллеры домена - 2008 или выше), или вы можете настроить автоматическое резервное копирование журнала и переместить все резервные копии в общий репозиторий через e. г. расписание. Почему эти встроенные функции не соответствуют вашим потребностям? – oldovets