ADAudit Plus
“中文”语言状态下,业务时间设置不了。
属于产品bug,7251版本的ADAP修复了“业务时间"的设置问题。升级到7251版本以上可解决此问题。
ADA中每日发送的摘要报表在哪里修改发送的邮箱地址?
摘要报表如下图: 修改发送的邮箱地址位置如下:
ADA安装时报错:“error while unpacking",怎么解决?
报错截图: 解决方案:账号权限的问题 (如权限无问题,可以查看是否安装包下载完全,有无杀毒软件等)
安装软件时提示让upgrade your version of ... with the latest service pack是怎么回事?
以ADA为例,报错如下: 问题原因:根源在于客户之前安装了ADA,所以再给他安装包就会报错。 解决方案: 1.直接打开现有的ADA使用 2.卸载重新安装最新版 3.将现有版本升级到最新版
A域账号,在B域使用,B域对A域完全信任,有B域管理权限,无A域管理权限。能使用ADAP监视A域账号在B域中的登录行为吗?
答:针对此问题可分为三种情况: ①如果A域和B域在同一个林下,可以使用企业账号(同一账号)到ADAP中。 ②如果A域和B域不在同一个林下,A域和B域分别可以配置一个服务账号到ADAP中。 ③如果只是对B域中A域账号的登录行为进行审计,则可以只配置B域到ADAP中。
关于“域对象变更”报表
温馨提示: 此报表中主要显示除特定对象或对象列表之外的域级别策略和权限更改。 比如: 事件(ID 4739):适用于整个域的域策略更改。 事件(ID 5136):适用于域级别权限更改。
事件详情
通过开启审计对象的“审计策略”, ADAP可以审计到 Windows 本地事件查看器中的对应事件。很多客户在 ADAP 中看到日志却不知道具体代表什么事件,这种情况下,建议客户通过“事件号(ID)” 了解该事件详情,进而对此事件可以有更深的认识。ADAP中各事件代表的详情可以参考此链接中的介绍:https://www.manageengine.com/products/active-directory-audit/adaudit-plus-study.html?breadcrumbs, ...
如何对1000对个共享文件夹配置SACL?
答:可以通过先配置权限自动推 SACL 到每个共享文件夹。配置方法链接:https://www.manageengine.com/products/active-directory-audit/service-account-configuration-privileges-permissions-for-automatic-audit-policy-and-object-level-auditing.html
关于使用ADAP中的 “用户活动监视(USR)” 功能,您需要知道什么?
说明: 该功能从版本号 7050 开始可以使用。 1. 该怎么配置此功能呢? 答: 请参考配置文档:https://www.manageengine.com/products/active-directory-audit/configure-user-session-recording-guide.html 2. 具体录制哪些用户行为呢? 答:对服务器和AD的一些管理行为进行录制,如:在AD中创建用户,在AD中删除用户以及其他一些如账户锁定等。 3. 怎么查看录制结果?(如下图) ...
ADAP可以转发日志到Splunk上吗?
答:可以的。方法如下图所示:
ADAudit Plus DataEngine 服务
此服务在6000版本之前没有。如果产品版本高于 6000 安装了 ADAudit Plus 服务却没有自动显示DataEngine服务,请尝试停止并启动 ADAudit Plus 服务,这时 DataEngine 服务也将会自动安装并启动。 DataEngine的功能:可从数据库中高效地检索数据并显示在UI上。
ADAP需要启用的防火墙规则
检查目标服务器中是否启用了以下防火墙规则: 1.远程事件日志管理(NP-In) 2.远程事件日志管理(RPC) 3.远程事件日志管理(RPC-EPMAP) 4.COM+网络访问(DCOM-In) 启用上述防火墙规则的步骤: 在目标服务器中打开Windows防火墙→高级设置→入站规则→右键单击相应的规则→启用规则。
如何判断ADAP服务器是否已连接到监控对象服务器?
为了确认该问题,请登录到ADAudit Plus服务器,打开“事件查看器”,并尝试使用“连接到另一台计算机”选项,通过在ADAudit Plus中配置的服务帐户连接到相应的服务器,以检查在从事件查看器收集审计数据时是否通过事件查看器建立了连接。(参考下面的GIF) 如果未建立连接时,请检查ADAP需要开放的端口号和防火墙规则是否已在监视对象服务器启用。 要确保 Windows event log 和 TCP/IP Netbios helper 服务也都是开着的。
“匿名登录(Anonymous Logon)” 的相关解释
此文档可帮助客户更好地了解ADAP报表中出现的匿名登录原因: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups
报表中hostname显示为IP地址的可能原因?
如果您在DNS(域名系统)或hosts文件中没有特定主机名的条目,但您仍然能够解析IP地址,则解析可能是通过其他方式进行的,如NetBIOS名称解析或本地网络广播。 在Windows中,NetBIOS(网络基本输入/输出系统)是一种传统的网络协议,它提供了一种将本地网络中的计算机名称解析为IP地址的方法。它使用广播和名称解析协议,如NBNS (NetBIOS名称服务)来解析名称。 ...
如果报表中用户的主机名显示为用户对应机器的IP地址时,如何修正过来?
可能原因:这些IP 地址机器的主机名没有被ADAP服务器解析到,您可以在ADAP服务器的CMD中执行命令:nslookup <ip address>,查看结果中是否有相应IP地址的主机名。 解决方案:如果这些IP地址机器没有在ADAP服务器中解析出主机名,请将这些IP地址的机器添加到ADAP服务器中的 host ...
ADAP 使用默认数据库和外置数据库的区别以及数据库中存放的具体数据
ADAP “数据库” 将要存储的数据为: ①从已配置的服务器中收集的审计数据 ② 产品上进行的各种配置数据 产品默认数据库(PostgreSQL)默认将存在于产品安装文件夹中,因此需要您为安装驱动器提供足够的空间。 外配 MSSQL 将出现在您选择的任何服务器上,对于产品服务器安装驱动器空间大小要求会更低。除此之外,没有特别的区别。
ADAudit Plus 如何查询第三方应用使用AD集成身份验证AD用户登录应用的相关信息(事件号4624)
先在ADAP中开启”网络登录类型的审核“(如上图),然后到本地登录报表中查看。
如何查看ADAP支持审核的所有事件号?
请到产品界面---支持---支持信息---更多---数据库查询(audeventID,如下图): 通过使用"Ctrl+F", 可快速查询某个事件号情况。
莫名有很多用户修改事件什么原因?
首先,对于ADAP而言,这是正常现象,因为ADAP只是具有记录本地AD域事件的功能。具体原因可建议客户通过事件号在微软的官网上查出具体事件背后的原因(参考链接如下): https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4724
使用ADAP需要注意的事项(链接为英文)
1. 系统要求: https://www.manageengine.com/products/active-directory-audit/help/getting-started/system-requirements.html 2. 安装方式(强烈建议要安装为服务,并用IE以外的浏览器访问): ...
从产品服务器 "Telnet <EMC Isilon 服务名称> 端口" 报错无法连接的原因
因为Telnet用的是TCP协议, 比如说192.168.80.131(dsap.com)在514端口上启了个UDP的服务,这时使用Telnet 192.168.80.131 8888/ dsap.com 514,就会报如下错误: Telnet 无法打开到主机的连接。在端口 514:连接失败 解决方案: 可在安装产品服务器上下载一个第3方工具测试,如:PortQry
ADA怎样实现分钟级别的告警?比如非工作时间,有人登录了敏感设备,马上产生告警并推送出来?
可以通过告警模块实现,具体如下: 1.新建告警配置文件: 2.选择所有的用户登录: 3.高级配置按照如下选择:过滤器的IP地址或者其它条件可以定义敏感设备,选择对应的通知方式,保存即可。
添加域控失败可能原因
1. 按照产品的“排错提示”排错(如若都不行,可检查原因2中的问题。) 2. 查看域控名称是否正确(域控名称一般为DC完整设备名+域名,正确名称如下图所示):
升级步骤
以下为ADAP升级步骤(适用于数据库为PostgreSQL): 1. 先为安装ADAudit Plus的服务器做快照。 2. 停止ADAudit Plus 服务。 3. 导航到“ADAudit Plus安装文件夹”并压缩备份此文件夹到任意位置。 4. 下载版本号所需的PPM文件到ADAudti Plus所在服务器的任意位置。 ...
EMC Isilon 连接ADA 解决方案
Isilon 连接ADA问题报告: 问题描述: 转发Audit protocol log到第三方syslog服务器 问题总结: Isilon audit settings global modify --config-syslog-enabled=yes 在syslog服务器上启用UDP 514入站访问
查询服务器中程序使用端口情况
请参照如下链接中的命令,了解Linux和Windows服务器中某个端口使用情况: https://www.ibm.com/support/pages/how-can-i-check-if-application-listening-port-and-applications-name
ADA希望修改归档路径,并将原归档数据转移到新路径下,如何操作?
1.管理员登录,在下图位置修改新路径,然后保存。自此,新存归档的所有文件都将保存在新路径中。 2.将存档文件从旧路径复制并移动到新路径。 3.浏览到下图位置, 注:需要用admin登录,不然技术员登录不会出现上面的DB query 并在DB查询字段下执行下面给出的查询:update audbackupmetatable set base_db_backup_directory='<new path>' <new path> 中替换更新的路径。(使用SQL server也是在此处修改) ...
Syslog Forwarder的使用方式演示GIF(可查看设备如EMC Isilon中日志是否传送到ADAP)
下载链接请查看附件! Syslog Forwarder的使用方式演示GIF:
关于adap运行慢的参考建议:
关于adap运行慢的参考建议: 1. 增加服务器的硬件性能。 16-32G RAM, 8-16CPU 2. 增加conf\wrapper.conf中wrapper.java.maxmemory的值,单位为M 3. 将域控的事件获取间隔设置合适的轮询间隔。 如每隔2个小时,可以选取部分域控在1个小时后,手动运行收集下日志,这样域控的轮询时间就可以错开了。 1小时是一部分,1小时后是另一部分域控收集日志 4. 设置合适的归档间隔,保证数据库中的数据得到清理 5. ...
ADAP在域环境中用到的关于审核策略的命令!(可找出域中优胜策略)
1. 域环境服务器上执行命令:auditpol /get /category:* (查看已设置的系统审核策略) 2. 域环境中执行命令:rsop.msc (查看组策略对象) 3. 域环境中执行命令:GPRESULT /H GPReport.html (查看Winning GPO)
ADAP优化磁盘空间的方法
注意:LDAP Auditing 将默认数据改为1,要等到彻底“保存运行”完后,再改为15;改为15后,无需等到彻底“保存运行”结束。
报表导出pdf格式中文/繁体乱码
非pdf文字显示正常: pdf文字显示乱码: 解决方案: 在使用ADAP产品的机器上安装“华文宋体” 软件,附件为软件链接,可直接下载使用。
ADAP“自动”配置审核策略所需条件
1. 配置审核策略:https://www.manageengine.com/products/active-directory-audit/active-directory-auditing-configuration-guide-configure-audit-policies-automatically.html ...
ADA审计华为存储的介绍有吗?
可以参考此链接:https://www.manageengine.com/products/active-directory-audit/guide-to-configure-huawei-oceanstor-systems-auditing.html 有对应权限说明,及如何配置介绍:
ADAP-如何解除全局排除中的排除配置文件
如下图,由于默认的排除配置文件不可更改和删除,但是用户想审计该类型事件,如何解决? 请在支持标签中,点击更多,展开审核配置,可以手动启用或关闭ADAudit Plus审计某些事件。 注意:上述例子中,产品默认是不启用事件4624和事件4625的登录类型为3的网络登录审核事件,如果启用后,需考虑到短时间内由于大量的事件收集到产品中,磁盘的使用情况。
EMC Isilon 9x怎样配置?
问题:我们在配置我们环境的EMC Isilon File audit的时候没有看到文档里面提到的信息,还请提供一下9.X的版本的教程,谢谢 OneFS version 9.x 解决方案:可以给客户提供下列链接,有具体的配置步骤: https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP配置服务器或者域控时显示error code:6ba,怎么解决?
1.一般使用以下方法可以解决问题(大部分客户已经成功解决) The "RPC server unavailable Error code: 6ba " occurs when the software is unable to connect to the machines for collecting event logs. Please ensure the communication between ADAudit Plus and the concerned Member Server ...
ADAP-ADAudit Plus服务器什么情况下需要安装GPMC
ADAudit Plus服务器什么情况下需要安装GPMC? 1.自动配置审核策略时需要:ADAudit Plus服务器的组策略管理控制台 (GPMC:Group Policy Management Console) 中的组策略从目标计算机请求 RSoP(Resultant Set of Policy)数据。举例,比如在域设置那里自动为成员服务器和文件服务器配置审核策略: Before: After: (手动配置审核策略不需要安装GPMC。) ...
ADAP-点击部分标签网页上方会出现一部分空白(7050之后的builds)
如下图,在Build7050之后,点击“报表”、“文件审核”和“服务器审核”三个标签,页面上方会出现空白: 这是Build7050及之后builds的一个已知问题,该问题会在ADAudit Plus集成在AD360时(url是**/AppsHome)出现,单独的ADAudit Plus不会出现该问题(url是**/#/Home)。 解决方案: ...
Next page