如何收到4776事件?
自8000版本后,需要启用NTLM认证协议才能收集到4776事件。启用方式如下:
使用默认的“admin”账户登录“ADAudit Plus”> 进入“支持”选项卡 > 在“支持信息”下方点击“更多”> 点击“启用/禁用配置”> 启用“运行数据操作语言(DML)查询”选项 > 执行以下查询语句:
update audeventid set machine_type = 17425 where event_number = 4776
一旦执行完上述操作,重启“ManageEngine ADAudit Plus”服务,之后网络认证协议(NTLM)日志收集功能将会被启用。
Related Articles
我想为所有事件日志创建告警,但ID为“xxxx”的某些事件除外。
解决方案: 打开文本编辑器并在以下文件夹“ <AppManager-Home>\working\conf ”下创建一个“EventLogExcludeList.txt ”的文件。我们可以实现事件日志排除,如下所述: 1) 排除事件的格式如下: EventId | Source | Category | User | EventType | Descripion 2) 该文件应位于 <AppManager-Home>\working\conf\ 目录中 3) ...事件详情
通过开启审计对象的“审计策略”, ADAP可以审计到 Windows 本地事件查看器中的对应事件。很多客户在 ADAP 中看到日志却不知道具体代表什么事件,这种情况下,建议客户通过“事件号(ID)” 了解该事件详情,进而对此事件可以有更深的认识。ADAP中各事件代表的详情可以参考此链接中的介绍:https://www.manageengine.com/products/active-directory-audit/adaudit-plus-study.html?breadcrumbs, ...莫名有很多用户修改事件什么原因?
首先,对于ADAP而言,这是正常现象,因为ADAP只是具有记录本地AD域事件的功能。具体原因可建议客户通过事件号在微软的官网上查出具体事件背后的原因(参考链接如下): https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4724ELA-ELA中告警事件可以生成SDP的工单吗?
EventLog Analyzer支持与ServiceDesk Plus集成,告警事件会自动在工单系统中生成工单,测试如下: 配置如下:如何查看ADAP支持审核的所有事件号?
请到产品界面---支持---支持信息---更多---数据库查询(audeventID,如下图): 通过使用"Ctrl+F", 可快速查询某个事件号情况。