「运维有小邓」实时监控用户登录操作

用户登录到其域计算机是在任何企业都会发生的日常活动。一开始，这看起来可能是一个简单的Active Directory事件，但分配有不同角色的管理员可将这个宝贵的数据用于各种审核、合规和操作需求。企业需要有关“AD用户登录日志”的审核详情以满足以下一个或多个操作需求。

• 验证给定审核间隔/每个月的员工缺勤/出勤。

• 确定在给定时刻可以访问Active Directory网络的用户总数。

• 找到通过远程网络计算机访问工作站或域控制器的用户。

• 确定域中所有用户的峰值登录次数。

• 查看是谁最后登录到关键域计算机。

确定是否有任何用户（不法之徒）正尝试登录到他/她并不具备权限的计算机。（例如：Active Directory中的域控制器登录/成员服务器登录将需要提升权限。）

查看域中任何用户的完整登录历史，即当您怀疑可疑的员工以及计算机、组和员工在任职期间管理、访问或修改的其他用户帐户等Active Directory域对象时要有证据。

除了列出来的这些项，Active Directory网络中还有更多实际需求需要有关域帐户登录的审核信息。ADAudit Plus帐户登录报表可方便地用于克服帐户登录审核挑战。它提供许多实时的预配置报表，这些报表以所需的格式提供有关登录审核问题的答案并增强Active Directory审核体验。自定义报表工具让该软件更受欢迎，例如，可以定义任何登录操作并作为报表来查看。

用户登录日志

为什么本机Active Directory被认为不足以进行用户登录审核？

每个‘AD登录日志’都会连续记录在Active Directory域控制器(DC)的安全日志中。此数据记录在本机Active Directory域控制器中

• 需要具备专门知识才能理解，因为它涉及对特定事件编号的理解及其与登录操作的关联。

• 数量庞大 - Active Directory对象上的每个登录活动连续记录在域控制器中，此事件日志数据累积为巨量的数据。

• 限制访问 - 域控制器是Active Directory基础设施的关键组件，仅限所选的管理用户访问。

本机Active Directory的其他限制包括：审核员、经理和人力资源职员等非管理用户无法跟踪任何所需的登录操作。有些关键登录事件（例如，登录到域控制器或成员服务器）需要立即发出即时告警或持续监控。虽然此关键信息已记录，但未与普通事件日志区分开来或分组，有较大的可能会被忽视。

Active Directory

实时Active Directory登录审核解决方案

为整个Active Directory网络跟踪帐户登录活动（一次为一个系统跟踪）几乎是不可能的。ADAudit Plus的实时用户登录审核报表在单个报表中列出所有用户登录操作。然后只需花一点时间即可从一个中央Web控制台查看。登录信息对于了解/确定域中用户对象的登录真实性非常重要。

ADAudit Plus提供有关登录失败、域控制器登录活动、成员服务器登录活动、工作站登录活动、用户登录活动、最近用户登录活动以及最后一次登录工作站等方面情况的用户登录报表。此外，该登录审核解决方案也是一个不可或缺的工具，使得特定登录事件、当前和过去登录活动的审核变得容易，并可列出所有与登录相关的变化。它通过易于理解的Web界面来实现，并通过图表、图形以及内置自定义报表的列表视图来显示统计信息。

登录活动

ADAudit Plus有关用户登录的审核报表

• 登录失败报表
• 域控制器上的登录活动
• 成员服务器上的登录活动
• 工作站上的登录活动
• 用户登录活动
• 最近用户登录活动
• 最后一次登录工作站
• 计算机上的RADIUS登录

ADAudit Plus

登录失败报表

登录失败报表提供有关所选时期内的登录失败的信息以及登录失败原因。报表所选时期内用户帐户的多次登录失败尝试。这样就可让管理员了解"易受入侵者攻击"帐户的信息和可能发生的攻击。报表有关登录失败的信息（例如，何时发生登录失败、登录失败的帐户以及可能的失败原因）。

登录失败原因很重要，例如，容易受到攻击的不安全用户名和不安全密码。需要管理员关注的原因包括："密码已过期"、"帐户被禁用/已过期/已锁定"或"管理员应重置帐户密码"。还会报表其他原因，例如："工作站/登录时间限制"、"新计算机帐户还未复制"或"计算机是pre-w2k"以及"工作站中的时间未与域控制器中的时间同步"。

登录失败次数和失败原因的图示可帮助管理员迅速做出决定和有效管理。

登录失败报表

域控制器上的登录活动

域控制器是Active Directory中的关键中心组件，AD更改在其中生效。域控制器登录仅限于有权限或管理员用户，有关其他用户登录尝试的完整信息可帮助管理员采取明智的纠正措施。ADAudit Plus帮助提供有关已登录到任何选定域控制器的所有用户的信息。报表登录时间、用户从哪里登录（设备名称）、登录尝试是成功还是失败以及失败原因（如有）等详情。

AD域用户登录信息

成员服务器和工作站上的登录活动

成员服务器和工作站上的用户登录活动成员服务器和工作站上的登录活动报表提供有关分别登录到所选成员服务器或工作站的用户的信息。这两个报表功能类似于"域控制器上的登录活动报表"，让用户更容易使用和了解软件。

用户登录活动

用户登录报表提供有关所选域用户访问"服务器"或"工作站"的完整登录历史的审核信息。用户对象登录历史对于了解所选用户的登录模式非常重要，它还可为审核员/经理提供有关任何用户的记录证明。

最近用户登录活动

系统管理员怀疑/担心用户违规使用网络。失败的登录尝试是发现违规行为的一个指标或一种度量方法。ADAudit Plus的"最近用户登录活动"报表列出在任何选定时期内用户的所有成功和失败登录活动。此外，还会将失败登录的原因作为备注列出，以便采取纠正措施。

可从这个报表中查看某一天、任何选定日期或所选期间成功登录网络的用户列表。

最后一次登录工作站

此报表列出某一天成功登录的所有用户最后一次登录到工作站或计算机的时间。此报表可用于确定组织中用户的缺勤或当前空闲状态。

监控计算机上的RADIUS登录

审核已登录到远程计算机的用户的远程认证拨号用户服务(RADIUS)网络访问权。利用远程登录用户报表（例如RADIUS登录失败(NPS)和RADIUS登录历史(NPS)），监控Active Directory中的所有RADIUS身份验证。请注意，目前仅支持经由网络策略服务器(Windows Server 2008)的RADIUS登录活动。