Comment surveiller les journaux ldap d’Active Directory

Les requêtes LDAP peuvent être utilisées pour trouver des objets répondant à certains critères dans la base de données AD, tels que la liste des comptes d'utilisateurs désactivés, les utilisateurs dont le nom de famille est vide, les groupes créés au cours des 30 derniers jours, etc. La surveillance des journaux LDAP dans Active Directory peut fournir des informations utiles sur les requêtes LDAP qui sont exécutées, ainsi que sur les applications qui génèrent fréquemment des requêtes coûteuses ou inefficaces. Il peut également mettre en lumière des liaisons LDAP non sécurisées et des dépassements de délai de connexion LDAP.

Voici une comparaison entre l'audit des requêtes LDAP à l'aide d'outils d'audit natifs et ADAudit Plus de ManageEngine, une solution complète d'audit en temps réel de l'Active Directory.

Version d'essai gratuite de 30 jours entièrement fonctionnelle

  • Avec audit AD natif

  • Avec ADAudit Plus

Activer l’audit LDAP

Ouvrez l’éditeur du registre. Allez dans HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Services → NTDS → Diagnostics. Remarque : Réglez « 15 Field Engineering » sur « 5 ». Cela permet d'enregistrer les appels LDAP coûteux et inefficaces dans l’Observateur d'événements.

  • Connectez-vous à la console web ADAudit Plus.

  • Allez dans l’onglet Audit du serveur et dans la section Audit LDAP du panneau de gauche. Certains des rapports importants de l'audit LDAP sont présentés ci-dessous :

    1. Liaisons LDAP non sécurisées

    2. Nombre de liaisons LDAP quotidiennes non sécurisées

    3. Nombre de requêtes LDAP

    4. Requêtes LDAP récentes

    5. Erreur du serveur LDAP

    6. Expiration du délai de connexion LDAP

    Vous pouvez générer les résultats pour la période de votre choix.

  • Sélectionnez le domaine et cliquez sur Générer.

  • Sélectionnez Exporter sous pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).

  • Activer l’audit LDAP
    Ouvrez l’éditeur du registre. Allez dans HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Services → NTDS → Diagnostics. Remarque : Réglez « 15 Field Engineering » sur « 5 ». Cela permet d'enregistrer les appels LDAP coûteux et inefficaces dans l’Observateur d'événements.

  • Liaisons LDAP non sécurisées

    1. Liaisons LDAP non sécurisées
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 2889 (Windows Server 2003 à 2012)

    2. Nombre de liaisons LDAP quotidiennes non sécurisées
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 2887 (Windows Server 2003 à 2012)

    3. Nombre de requêtes LDAP
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 1643 (Windows Server 2003 à 2012)

    4. Requêtes LDAP récentes
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 1644 (Windows Server 2003 à 2012)

    5. Erreur du serveur LDAP
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 1535 (Windows Server 2003 à 2012)

    6. Connexion LDAP interrompue
      Allez dans l’Observateur d'événements → Filtrez les journaux du service d'annuaire pour localiser l'ID d'événement 1317 (Windows Server 2003 à 2012)

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Demander de l'aide

  •  
  •  
  •  
  •  
  • En cliquant sur 'Envoyer la demande' vous acceptez le traitement des données personnelles conformément à la politique. de confidentialité.

Thanks

One of our solution experts will get in touch with you shortly.

Zoho Corporation Pvt. Ltd. Tous droits réservés.