¿Cómo ver los logs de eventos de Active Directory?
Ver registros de Active Directory ahoraAuditoría nativa
Los logs de eventos de Active Directory se pueden ver con el Visor de eventos, que es una herramienta nativa proporcionada por Microsoft. Pero primero se debe activar la directiva de auditoría de su dominio.
- Paso 1: Para ello, acceda a su Consola de administración de directivas de grupo → Directiva de dominio → Configuración del equipo → Directivas → Configuración de Windows → Configuraciones de seguridad → Directivas locales → Directiva de auditoría/Configuración de directiva de auditoría avanzada.
- Paso 2: Seleccione los eventos que desee auditar.
- Paso 3: Ahora, para ver los logs de eventos de Active Directory para esos eventos, acceda a Herramientas administrativas → Visor de eventos.
- Paso 4: Seleccione el tipo de logs de auditoría de AD que desea ver (por ejemplo: Aplicación, Sistema, etc.).
Puede filtrar estos registros para ver solo lo que necesite.
Pero el Visor de eventos tiene una capacidad de almacenamiento de registros de 4 GB y los registros se sobrescriben cuando sea necesario. Además, el apiñamiento en estos logs hace que sea difícil obtener una imagen clara de los eventos que ocurren en el dominio. Estas limitaciones hacen que el Visor de eventos sea una herramienta de auditoría mediocre para Active Directory.
Visualización de registros de seguridad de Active Directory mediante ADAudit Plus
ADAudit Plus le permite ver los registros de eventos de Active Directory en forma de informes claros y clasificados. De esta manera, no necesita desplazarse sin cesar a través de un revoltijo de registros de seguridad, pasar horas filtrando eventos o preocuparse de que los eventos se sobrescriban debido al espacio de almacenamiento limitado. ADAudit Plus hace todo el trabajo por usted. Aquí se muestra un informe de muestra de eventos de modificación de grupo.
ADAudit Plus le permite exportar estos registros a cualquier herramienta de SIEM (información de seguridad y administración de eventos) e incluso importar registros de EVT/EVTX desde un origen externo. Estos informes se pueden exportar como un archivo CSV, PDF, XLS o HTML, y se pueden programar para que se le envíen en el momento que elija. Los informes se pueden archivar y guardar en cualquier lugar de forma local, por lo que los administradores no tienen que preocuparse por las limitaciones del espacio de almacenamiento como ocurre con las herramientas nativas.
De esta forma, los registros de eventos pasados se pueden almacenar durante el tiempo que sea necesario para utilizarlos con fines forenses y de cumplimiento normativo. El módulo de alertas de ADAudit Plus le envía notificaciones en tiempo real cuando se produce cualquier evento crítico.
ADAudit Plus tiene informes de auditoría en tiempo real para:
- Auditoría de inicio de sesión de usuario
- Auditoría del servidor de archivos
- Auditoría de objetos de AD
- Auditoría de Windows Server
- Auditoría del almacenamiento extraíble
Y más...
También se recopilan los archivos de registro de su Active Directory para crear informes de cumplimiento normativo preconfigurados a fin de ayudarle a cumplir las normativas del sector.
Obtenga más información sobre cómo ADAudit Plus puede ayudarle a auditar su Active Directory.