Zcmes | ADAudit Plus

ADAudit Plus
如何查看当前产品的版本号？
方式一（通过支持页）：方式二（通过许可页）：方式三（通过安装目录Conf）：
ADAP如何审计登录类型为3的日志？
按照如下图所示，开启网络登录类型的审核即可： 1. 2.
如何查看产品使用的是什么数据库？
可以在安装目录conf文件夹--database_params.conf文件中查找到，如下图所示：
ADA攻击面分析器有部分内容没有解析出来，如下图，怎么解决？
问题截图：解决方案：由于这是个已知问题，会在下个版本修复（目前最新是8512），临时解决方案如下： 1.停止ADAP服务 2.备份ManageEngine\ADAudit Plus\resources\adap下面的ApplicationResources_zh_CN.properties文件，替换为附件的文件 3.启动服务
ADAP可审计的关于NetApp的行为
支持的版本 ADAudit Plus 可监控以下 ONTAP 版本： NetApp ONTAP 7.2 及更高版本审计事件 ADAudit Plus 会对 NetApp 存储设备（filer）中所有尝试执行以下文件操作的行为进行审计：创建读取修改写入删除修改文件权限重命名移动
如何针对共享文件发告警？
请使用下面截图里面的规则来限定：
CVE-2025-46701 漏洞解决方式
请按照以下步骤将Tomcat版本升级到9.0.105 升级步骤： 1. 下载并解压Tomcat压缩包点击此处获取补丁： https://downloads.zohocorp.com/dnd_30/ADAudit_Plus/uPjmKMxNEc6nxTj/tomcat_9.0.105.zip 2. 停止产品服务 3. 创建备份并替换文件将解压后的Tomcat文件替换到 `<product_home>\lib\tomcat` 目录（替换前请先备份原文件）。 4. 替换许可证文件 ...
ADAP如何在低于8500版本的情况下应用SSL证书
可以做如下选择： 1. 升级产品到8500以上在界面上应用 2. 采用针对当下版本的应用SSL证书方式：https://www.manageengine.com/products/active-directory-audit/help/admin-settings/steps-to-enable-ssl.html
通过产品界面应用SSL证书是从8500版本开始
如何过滤掉比如某些特定进程名cmd.exe ？
参考如下方法配置，进程事件号4688 和4689：
6ba错误
解决方案： 1、在安装ADAP的机器上，打开事件查看器，点击连接另一台电脑，判断ADAP中配置的凭据是否能成功连接到对象电脑。若连接失败并提示类似以下报错：请进入第2步做端口检查： 1. 检查目标服务器的入站规则中以下端口是否开启： - 端口“389”，用于与轻量级目录访问协议（LDAP）进行通信。 - 端口“135”，用于与远程过程调用（RPC）进行通信。 - 端口“445”和“139”，用于与网络基本输入输出系统（NetBIOS）会话服务进行通信。 - ...
如何查询ADA使用的Tomcat版本？
1.使用任何解压缩工具打开 catalina.jar，位置在安装目录\ADAudit Plus\lib\tomcat\catalina.jar 2.您会找到一个名为 META-INF 的文件夹 3.在文件夹中找到 MANIFEST.MF，使用记事本打开后，您会在 Implementation-Version 旁边找到 Apache Tomcat 版本：，如下图所示：注：其它产品也适用注：Endpoint Central: ...
CVE-2025-24813 Apache Tomcat 远程代码执行漏洞--ADAP如何修复？
请参考以下链接将产品升级到最新版本： https://www.manageengine.com/products/active-directory-audit/service-pack.html 注意：在开始产品升级前，请务必对服务器进行快照备份。升级完成后，请按照以下步骤升级Tomcat： 1. ...
ADA可以只购买Azure云账户的插件吗？
可以的。需要先添加域再添加Azure云账户。虽然没有域控的许可，但是可以正常添加域，只不过添加进来会被禁用，即无法被ADA审计对应的域控，但是不影响识别对应的Azure账户。
error code 5
关于error code 5 的报错，可以参考如下配置方法配置SACL权限进行解决：完整配置文档可参考下面英文链接： https://www.manageengine.com/products/active-directory-audit/help/data-source/windows-file-audit-configure-object-level-auditing-manually.html
error code 59
问题：文件服务器的共享文件路径配完后，出现 error code 59 的报错(如下图)，但是其路径下的审计数据可以正常在ADAP报表中显示，这种情况该如何处理？解决方案： ADAudit Plus 界面 > 支持 > 更多： 4处输入以下查询语句并执行： update AUDShareSaclDetails set SACL_STATUS=3, MESSAGE='Successfully enabled audit settings' where location='共享文件路径' ...
自动审计策略使用前提
安装ADAP到服务器上前，请准备好以下两个条件： 1. 准备一个域管理员组内的服务账号。 2. 在产品服务器上装好GPMC。安装GPMC的两种方法：使用服务器管理器安装打开服务器管理器：点击 “开始” 菜单，选择 “服务器管理器”。添加角色和功能：在服务器管理器中，点击 “管理” 菜单，然后选择 “添加角色和功能”。选择安装类型：在 “添加角色和功能向导” 中，选择 “基于角色或基于功能的安装”，然后点击 “下一步”。选择目标服务器：选择要在其上安装 GPMC 的服务器，然后点击 ...
ADAP安装目录中alert_data文件夹存储的是什么数据？占用过大可以删除吗?
1.存储的是什么数据：存储的是ADAP相关的告警数据，但是被卡在了此文件夹中。 2.占用过大可以删除吗：如果客户不想收到这些卡住的告警，可以删除。也可以尝试将产品升级到最新版本，观察下是否可以将卡住的告警释放。 3.如升级后还有问题，请联系support@manageengine.cn
ADAP 和 ADMP 中针对 “备份恢复” 附加功能对比
ADAP 和 ADMP 中针对 “备份恢复” 附加功能对比：相似性： ADAP 和 ADMP 中针对域AD对象备份恢复都是按照域用户数量去给许可的。不同处： ADAP只能备份恢复AD的对象，ADMP 除了可以备份AD的对象也可以备份恢复 Azure AD 和 Google Workspace的对象。
如何收到4776事件？
自8000版本后，需要启用NTLM认证协议才能收集到4776事件。启用方式如下：使用默认的“admin”账户登录“ADAudit Plus”> 进入“支持”选项卡 > 在“支持信息”下方点击“更多”> 点击“启用/禁用配置”> 启用“运行数据操作语言（DML）查询”选项 > 执行以下查询语句： update audeventid set machine_type = 17425 where event_number = 4776 一旦执行完上述操作，重启“ManageEngine ...
如何移动原归档日志到新的位置？
1. 用默认 admin 账号修改ADAP平台上的归档路径。（如已修改，可忽略此步骤！） 2. 移动或者复制原 "Archive" 文件夹到新路径下。移动或者复制完之后，执行以下操作：用默认admin账号登录到ADAP平台 > 找到 "支持" 选项 > 点击“支持信息”下面的 "更多" 。执行 ADAudit Plus DB Query： update audbackupmetatable set base_db_backup_directory='输入新路径' 例如: update ...
ADA配置审核策略时出现报错：80070005，如何排错？
报错因为没有权限：排错：需要检查对应的账户是否对需要操作的对象有权限
归档中提到的热数据，冷数据，冷冻数据是什么意思？
解释如下：热数据指的是活跃数据/未归档数据。冷数据和冻结数据是用于描述已归档数据的术语。对于数据库日志而言——热数据（活跃数据）经过归档后会变成冻结数据（已归档数据）。对于数据工程日志来说——热数据（活跃数据）经过归档后会变成冷数据（归档到Lucene索引中以便更快地进行查询），然后再变成冻结数据（已归档数据）。
ADAudit Plus服务无法删除怎么办？
1.可以以管理员身份打开命令提示符，sc delete “服务名称”，如sc delete ADAudit Plus（服务名称查看：点击对应服务，属性即可查看） 2.可以到注册表如下位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，找到对应的服务，将其删除
如何查询单点登录(SSO)或双因素认证(TFA)注册的“用户”？
答：使用默认的“admin”账户登录“ADAudit Plus”>转到“支持”标签>点击“支持信息”下的“更多”>在“ADAudit Plus 数据库查询”中执行以下查询: select * from ADSTFABVCUserEnrollement 可检查用户登录所用的“技术员”账户是否出现在列表中。
AD各产品release notes查询地址集锦：
ADM： https://www.manageengine.com/products/ad-manager/release-notes.html ADA： https://www.manageengine.com/products/active-directory-audit/adaudit-plus-release-notes.html?source=dwnlodpg ADSSP： ...
PDC（Primary Domain Controller，主域控制器）
在 AD（Active Directory，活动目录）域中，PDC（Primary Domain Controller，主域控制器）是指在一个域中主要负责处理账号登录请求和维护域中账号数据库的服务器。 **一、主要作用** 1. 账号管理 - 负责管理域用户账号和密码信息。当用户登录到域时，首先将登录请求发送到 PDC。PDC 会验证用户的账号和密码是否正确，并根据验证结果允许或拒绝用户登录。 - 处理账号的创建、修改和删除等操作。确保域中账号信息的一致性和准确性。 2. 时间同步 - ...
如何找出域中的主域控？
MFA 备份码如何生成？
请参考下面产品截图生成MFA备份码：
将 ADAudit Plus 从一台服务器/驱动器迁移到另一台服务器/驱动器
1. 停止 ADAudit Plus 服务（开始→运行→输入 services.msc→停止“ManageEngine ADAudit Plus”）。 2. 停止数据库。 - 以管理员身份打开命令提示符。 - 导航至<安装目录>\ManageEngine\ADAudit Plus\bin。 - 执行 StopDB.bat。 3. 删除 ADAudit Plus 服务。 - 以管理员身份打开命令提示符。 - 导航至<安装目录>\ManageEngine\ADAudit Plus\bin。 - ...
如何查找“攻击面分析”功能中每个“威胁”相关联的“技术名称”？
点击 ADAudit Plus产品中的 “支持” 标签>点击 “支持信息” 下的 “更多” > 在 “ADAudit Plus 数据库查询” 中执行以下查询: select technique_name,threat_name from AUDThreatInfo group by technique_name,threat_name order by technique_name
adap备份恢复插件和admp备份恢复插件的区别
admp备份恢复插件：可以备份AD, Azure AD, Google Workspace对象。然后根据需要将这些对象恢复到某一个时间点。 adap备份恢复插件：专门针对AD上发生的变更进行恢复，比如误操作的变更、有安全风险的变更、以及其他非工作需要的变更。另外，它还新增加了从AD报表里面发起还原的功能，执行的时候需要先在选择的报表里面发起一个撤销变更申请，再由管理员审批过后，完成恢复操作。
ADAP升级时提示需要导入证书，在哪里下载证书？
证书详见附件： 1.升级到7260用：ppmsigner_publickey 2.升级到7270及以上用：latest
账号锁定分析器里面查看信息所需权限?
问: 账号锁定分析器里面查看信息所需权限是什么? 答：使用“账号锁定分析器”，需要配置域管理员账号。最小权限用户使用不了此功能。
ADA受CVE-2023-49331影响吗?
经过和研发团队确认,ADA的8003版本修复了此漏洞.如果在使用低于8003版本,需要升级至8003或以上.如果已经使用8003或以上版本,则不会受此漏洞影响. CVE网站信息:https://www.cve.org/CVERecord?id=CVE-2023-49331
“中文”语言状态下，业务时间设置不了。
属于产品bug，7251版本的ADAP修复了“业务时间"的设置问题。升级到7251版本以上可解决此问题。
ADA中每日发送的摘要报表在哪里修改发送的邮箱地址？
摘要报表如下图：修改发送的邮箱地址位置如下：
ADA安装时报错：“error while unpacking"，怎么解决？
报错截图：解决方案：账号权限的问题（如权限无问题，可以查看是否安装包下载完全，有无杀毒软件等）
安装软件时提示让upgrade your version of ... with the latest service pack是怎么回事？
以ADA为例，报错如下：问题原因：根源在于客户之前安装了ADA，所以再给他安装包就会报错。解决方案： 1.直接打开现有的ADA使用 2.卸载重新安装最新版 3.将现有版本升级到最新版
A域账号，在B域使用，B域对A域完全信任，有B域管理权限，无A域管理权限。能使用ADAP监视A域账号在B域中的登录行为吗？
答：针对此问题可分为三种情况： ①如果A域和B域在同一个林下，可以使用企业账号（同一账号）到ADAP中。 ②如果A域和B域不在同一个林下，A域和B域分别可以配置一个服务账号到ADAP中。 ③如果只是对B域中A域账号的登录行为进行审计，则可以只配置B域到ADAP中。
Next page

Zcmes | ADAudit Plus | 知识库

ADAudit Plus

如何查看当前产品的版本号？

ADAP如何审计登录类型为3的日志？

如何查看产品使用的是什么数据库？

ADA攻击面分析器有部分内容没有解析出来，如下图，怎么解决？

ADAP可审计的关于NetApp的行为

如何针对共享文件发告警？

CVE-2025-46701 漏洞解决方式

ADAP如何在低于8500版本的情况下应用SSL证书

通过产品界面应用SSL证书是从8500版本开始

如何过滤掉比如某些特定进程名cmd.exe ？

6ba错误

如何查询ADA使用的Tomcat版本？

CVE-2025-24813 Apache Tomcat 远程代码执行漏洞--ADAP如何修复？

ADA可以只购买Azure云账户的插件吗？

error code 5

error code 59

自动审计策略使用前提

ADAP安装目录中alert_data文件夹存储的是什么数据？占用过大可以删除吗?

ADAP 和 ADMP 中针对 “备份恢复” 附加功能对比

如何收到4776事件？

如何移动原归档日志到新的位置？

ADA配置审核策略时出现报错：80070005，如何排错？

归档中提到的热数据，冷数据，冷冻数据是什么意思？

ADAudit Plus服务无法删除怎么办？

如何查询单点登录(SSO)或双因素认证(TFA)注册的“用户”？

AD各产品release notes查询地址集锦：

PDC（Primary Domain Controller，主域控制器）

如何找出域中的主域控？

MFA 备份码如何生成？

将 ADAudit Plus 从一台服务器/驱动器迁移到另一台服务器/驱动器

如何查找“攻击面分析”功能中每个“威胁”相关联的“技术名称”？

adap备份恢复插件和admp备份恢复插件的区别

ADAP升级时提示需要导入证书，在哪里下载证书？

账号锁定分析器里面查看信息所需权限?

ADA受CVE-2023-49331影响吗?

“中文”语言状态下，业务时间设置不了。

ADA中每日发送的摘要报表在哪里修改发送的邮箱地址？

ADA安装时报错：“error while unpacking"，怎么解决？

安装软件时提示让upgrade your version of ... with the latest service pack是怎么回事？

A域账号，在B域使用，B域对A域完全信任，有B域管理权限，无A域管理权限。能使用ADAP监视A域账号在B域中的登录行为吗？

Next page