ADAudit Plus
如何过滤掉比如某些特定进程名cmd.exe ?
参考如下方法配置,进程事件号4688 和4689:
6ba错误
解决方案: 1、在安装ADAP的机器上,打开事件查看器,点击连接另一台电脑,判断ADAP中配置的凭据是否能成功连接到对象电脑。 若连接失败并提示类似以下报错: 请进入第2步做端口检查: 1. 检查目标服务器的入站规则中以下端口是否开启: - 端口“389”,用于与轻量级目录访问协议(LDAP)进行通信。 - 端口“135”,用于与远程过程调用(RPC)进行通信。 - 端口“445”和“139”,用于与网络基本输入输出系统(NetBIOS)会话服务进行通信。 - ...
如何查询ADA使用的Tomcat版本?
1.使用任何解压缩工具打开 catalina.jar,位置在安装目录\ADAudit Plus\lib\tomcat\catalina.jar 2.您会找到一个名为 META-INF 的文件夹 3.在文件夹中找到 MANIFEST.MF,使用记事本打开后,您会在 Implementation-Version 旁边找到 Apache Tomcat 版本:,如下图所示: 注:其它产品也适用 注:Endpoint Central: ...
CVE-2025-24813 Apache Tomcat 远程代码执行漏洞--ADAP如何修复?
1. 从以下链接下载并解压 Tomcat 的压缩文件夹: https://downloads.zohocorp.com/ADAudit_Plus/RctZn2jLdlc83a6/9.0.100.zip 2. 停止ADAudit Plus 服务 3. 将链接中下载的Tomcat替换到ADAudit Plus<安装目录>\lib\tomcat 文件夹中并备份原有tomcat文件夹到某个新位置。 4. 替换ADAudit Plus <安装目录>\licenses ...
ADA可以只购买Azure云账户的插件吗?
可以的。需要先添加域再添加Azure云账户。虽然没有域控的许可,但是可以正常添加域,只不过添加进来会被禁用,即无法被ADA审计对应的域控,但是不影响识别对应的Azure账户。
error code 5
关于error code 5 的报错,可以参考如下配置方法配置SACL权限进行解决: 完整配置文档可参考下面英文链接: https://www.manageengine.com/products/active-directory-audit/help/data-source/windows-file-audit-configure-object-level-auditing-manually.html
error code 59
问题: 文件服务器的共享文件路径配完后,出现 error code 59 的报错(如下图),但是其路径下的审计数据可以正常在ADAP报表中显示,这种情况该如何处理? 解决方案: ADAudit Plus 界面 > 支持 > 更多: 4处输入以下查询语句并执行: update AUDShareSaclDetails set SACL_STATUS=3, MESSAGE='Successfully enabled audit settings' where location='共享文件路径' ...
自动审计策略使用前提
安装ADAP到服务器上前,请准备好以下两个条件: 1. 准备一个域管理员组内的服务账号。 2. 在产品服务器上装好GPMC。 安装GPMC的两种方法: 使用服务器管理器安装 打开服务器管理器:点击 “开始” 菜单,选择 “服务器管理器”。 添加角色和功能:在服务器管理器中,点击 “管理” 菜单,然后选择 “添加角色和功能”。 选择安装类型:在 “添加角色和功能向导” 中,选择 “基于角色或基于功能的安装”,然后点击 “下一步”。 选择目标服务器:选择要在其上安装 GPMC 的服务器,然后点击 ...
ADAP安装目录中alert_data文件夹存储的是什么数据?占用过大可以删除吗?
1.存储的是什么数据:存储的是ADAP相关的告警数据,但是被卡在了此文件夹中。 2.占用过大可以删除吗:如果客户不想收到这些卡住的告警,可以删除。也可以尝试将产品升级到最新版本,观察下是否可以将卡住的告警释放。 3.如升级后还有问题,请联系support@manageengine.cn
ADAP 和 ADMP 中针对 “备份恢复” 附加功能对比
ADAP 和 ADMP 中针对 “备份恢复” 附加功能对比: 相似性: ADAP 和 ADMP 中 针对域AD对象备份恢复都是按照域用户数量去给许可的。 不同处: ADAP只能备份恢复AD的对象,ADMP 除了可以备份AD的对象也可以备份恢复 Azure AD 和 Google Workspace的对象。
如何收到4776事件?
自8000版本后,需要启用NTLM认证协议才能收集到4776事件。启用方式如下: 使用默认的“admin”账户登录“ADAudit Plus”> 进入“支持”选项卡 > 在“支持信息”下方点击“更多”> 点击“启用/禁用配置”> 启用“运行数据操作语言(DML)查询”选项 > 执行以下查询语句: update audeventid set machine_type = 17425 where event_number = 4776 一旦执行完上述操作,重启“ManageEngine ...
如何移动原归档日志到新的位置?
1. 用默认 admin 账号修改ADAP平台上的归档路径。(如已修改,可忽略此步骤!) 2. 移动或者复制原 "Archive" 文件夹到新路径下。 移动或者复制完之后,执行以下操作: 用默认admin账号登录到ADAP平台 > 找到 "支持" 选项 > 点击“支持信息”下面的 "更多" 。 执行 ADAudit Plus DB Query: update audbackupmetatable set base_db_backup_directory='输入新路径' 例如: update ...
ADA配置审核策略时出现报错:80070005,如何排错?
报错因为没有权限: 排错:需要检查对应的账户是否对需要操作的对象有权限
归档中提到的热数据,冷数据,冷冻数据是什么意思?
解释如下: 热数据指的是活跃数据/未归档数据。 冷数据和冻结数据是用于描述已归档数据的术语。 对于数据库日志而言——热数据(活跃数据)经过归档后会变成冻结数据(已归档数据)。 对于数据工程日志来说——热数据(活跃数据)经过归档后会变成冷数据(归档到Lucene索引中以便更快地进行查询),然后再变成冻结数据(已归档数据)。
ADAudit Plus服务无法删除怎么办?
1.可以以管理员身份打开命令提示符,sc delete “服务名称”,如sc delete ADAudit Plus(服务名称查看:点击对应服务,属性即可查看) 2.可以到注册表如下位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,找到对应的服务,将其删除
如何查询单点登录(SSO)或双因素认证(TFA)注册的“用户”?
答:使用默认的“admin”账户登录“ADAudit Plus”>转到“支持”标签>点击“支持信息”下的“更多”>在“ADAudit Plus 数据库查询”中执行以下查询: select * from ADSTFABVCUserEnrollement 可检查用户登录所用的“技术员”账户是否出现在列表中。
AD各产品release notes查询地址集锦:
ADM: https://www.manageengine.com/products/ad-manager/release-notes.html ADA: https://www.manageengine.com/products/active-directory-audit/adaudit-plus-release-notes.html?source=dwnlodpg ADSSP: ...
PDC(Primary Domain Controller,主域控制器)
在 AD(Active Directory,活动目录)域中,PDC(Primary Domain Controller,主域控制器)是指在一个域中主要负责处理账号登录请求和维护域中账号数据库的服务器。 **一、主要作用** 1. 账号管理 - 负责管理域用户账号和密码信息。当用户登录到域时,首先将登录请求发送到 PDC。PDC 会验证用户的账号和密码是否正确,并根据验证结果允许或拒绝用户登录。 - 处理账号的创建、修改和删除等操作。确保域中账号信息的一致性和准确性。 2. 时间同步 - ...
如何找出域中的主域控?
MFA 备份码如何生成?
请参考下面产品截图生成MFA备份码:
将 ADAudit Plus 从一台服务器/驱动器迁移到另一台服务器/驱动器
1. 停止 ADAudit Plus 服务(开始→运行→输入 services.msc→停止“ManageEngine ADAudit Plus”)。 2. 停止数据库。 - 以管理员身份打开命令提示符。 - 导航至<安装目录>\ManageEngine\ADAudit Plus\bin。 - 执行 StopDB.bat。 3. 删除 ADAudit Plus 服务。 - 以管理员身份打开命令提示符。 - 导航至<安装目录>\ManageEngine\ADAudit Plus\bin。 - ...
如何查找“攻击面分析”功能中每个“威胁”相关联的“技术名称”?
点击 ADAudit Plus产品中的 “支持” 标签>点击 “支持信息” 下的 “更多” > 在 “ADAudit Plus 数据库查询” 中执行以下查询: select technique_name,threat_name from AUDThreatInfo group by technique_name,threat_name order by technique_name
adap备份恢复插件和admp备份恢复插件的区别
admp备份恢复插件: 可以备份AD, Azure AD, Google Workspace对象。然后根据需要将这些对象恢复到某一个时间点。 adap备份恢复插件: 专门针对AD上发生的变更进行恢复,比如误操作的变更、有安全风险的变更、以及其他非工作需要的变更。另外,它还新增加了从AD报表里面发起还原的功能,执行的时候需要先在选择的报表里面发起一个撤销变更申请,再由管理员审批过后,完成恢复操作。
ADAP升级时提示需要导入证书,在哪里下载证书?
证书详见附件: 1.升级到7260用:ppmsigner_publickey 2.升级到7270及以上用:latest
账号锁定分析器里面查看信息所需权限?
问: 账号锁定分析器里面查看信息所需权限是什么? 答:使用“账号锁定分析器”,需要配置域管理员账号。最小权限用户使用不了此功能。
ADA受CVE-2023-49331影响吗?
经过和研发团队确认,ADA的8003版本修复了此漏洞.如果在使用低于8003版本,需要升级至8003或以上.如果已经使用8003或以上版本,则不会受此漏洞影响. CVE网站信息:https://www.cve.org/CVERecord?id=CVE-2023-49331
“中文”语言状态下,业务时间设置不了。
属于产品bug,7251版本的ADAP修复了“业务时间"的设置问题。升级到7251版本以上可解决此问题。
ADA中每日发送的摘要报表在哪里修改发送的邮箱地址?
摘要报表如下图: 修改发送的邮箱地址位置如下:
ADA安装时报错:“error while unpacking",怎么解决?
报错截图: 解决方案:账号权限的问题 (如权限无问题,可以查看是否安装包下载完全,有无杀毒软件等)
安装软件时提示让upgrade your version of ... with the latest service pack是怎么回事?
以ADA为例,报错如下: 问题原因:根源在于客户之前安装了ADA,所以再给他安装包就会报错。 解决方案: 1.直接打开现有的ADA使用 2.卸载重新安装最新版 3.将现有版本升级到最新版
A域账号,在B域使用,B域对A域完全信任,有B域管理权限,无A域管理权限。能使用ADAP监视A域账号在B域中的登录行为吗?
答:针对此问题可分为三种情况: ①如果A域和B域在同一个林下,可以使用企业账号(同一账号)到ADAP中。 ②如果A域和B域不在同一个林下,A域和B域分别可以配置一个服务账号到ADAP中。 ③如果只是对B域中A域账号的登录行为进行审计,则可以只配置B域到ADAP中。
关于“域对象变更”报表
温馨提示: 此报表中主要显示除特定对象或对象列表之外的域级别策略和权限更改。 比如: 事件(ID 4739):适用于整个域的域策略更改。 事件(ID 5136):适用于域级别权限更改。
事件详情
通过开启审计对象的“审计策略”, ADAP可以审计到 Windows 本地事件查看器中的对应事件。很多客户在 ADAP 中看到日志却不知道具体代表什么事件,这种情况下,建议客户通过“事件号(ID)” 了解该事件详情,进而对此事件可以有更深的认识。ADAP中各事件代表的详情可以参考此链接中的介绍:https://www.manageengine.com/products/active-directory-audit/adaudit-plus-study.html?breadcrumbs, ...
如何对1000对个共享文件夹配置SACL?
答:可以通过先配置权限自动推 SACL 到每个共享文件夹。配置方法链接:https://www.manageengine.com/products/active-directory-audit/service-account-configuration-privileges-permissions-for-automatic-audit-policy-and-object-level-auditing.html
关于使用ADAP中的 “用户活动监视(USR)” 功能,您需要知道什么?
说明: 该功能从版本号 7050 开始可以使用。 1. 该怎么配置此功能呢? 答: 请参考配置文档:https://www.manageengine.com/products/active-directory-audit/configure-user-session-recording-guide.html 2. 具体录制哪些用户行为呢? 答:对服务器和AD的一些管理行为进行录制,如:在AD中创建用户,在AD中删除用户以及其他一些如账户锁定等。 3. 怎么查看录制结果?(如下图) ...
ADAP可以转发日志到Splunk上吗?
答:可以的。方法如下图所示:
ADAudit Plus DataEngine 服务
此服务在6000版本之前没有。如果产品版本高于 6000 安装了 ADAudit Plus 服务却没有自动显示DataEngine服务,请尝试停止并启动 ADAudit Plus 服务,这时 DataEngine 服务也将会自动安装并启动。 DataEngine的功能:可从数据库中高效地检索数据并显示在UI上。
ADAP需要启用的防火墙规则
检查目标服务器中是否启用了以下防火墙规则: 1.远程事件日志管理(NP-In) 2.远程事件日志管理(RPC) 3.远程事件日志管理(RPC-EPMAP) 4.COM+网络访问(DCOM-In) 启用上述防火墙规则的步骤: 在目标服务器中打开Windows防火墙→高级设置→入站规则→右键单击相应的规则→启用规则。
如何判断ADAP服务器是否已连接到监控对象服务器?
为了确认该问题,请登录到ADAudit Plus服务器,打开“事件查看器”,并尝试使用“连接到另一台计算机”选项,通过在ADAudit Plus中配置的服务帐户连接到相应的服务器,以检查在从事件查看器收集审计数据时是否通过事件查看器建立了连接。(参考下面的GIF) 如果未建立连接时,请检查ADAP需要开放的端口号和防火墙规则是否已在监视对象服务器启用。 要确保 Windows event log 和 TCP/IP Netbios helper 服务也都是开着的。
“匿名登录(Anonymous Logon)” 的相关解释
此文档可帮助客户更好地了解ADAP报表中出现的匿名登录原因: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups
Next page