ADAudit Plus
ADAudit Plus DataEngine 服务
此服务在6000版本之前没有。如果产品版本高于 6000 安装了 ADAudit Plus 服务却没有自动显示DataEngine服务,请尝试停止并启动 ADAudit Plus 服务,这时 DataEngine 服务也将会自动安装并启动。 DataEngine的功能:可从数据库中高效地检索数据并显示在UI上。
ADAP需要启用的防火墙规则
检查目标服务器中是否启用了以下防火墙规则: 1.远程事件日志管理(NP-In) 2.远程事件日志管理(RPC) 3.远程事件日志管理(RPC-EPMAP) 4.COM+网络访问(DCOM-In) 启用上述防火墙规则的步骤: 在目标服务器中打开Windows防火墙→高级设置→入站规则→右键单击相应的规则→启用规则。
如何判断ADAP服务器是否已连接到监控对象服务器?
为了确认该问题,请登录到ADAudit Plus服务器,打开“事件查看器”,并尝试使用“连接到另一台计算机”选项,通过在ADAudit Plus中配置的服务帐户连接到相应的服务器,以检查在从事件查看器收集审计数据时是否通过事件查看器建立了连接。(参考下面的GIF) 如果未建立连接时,请检查ADAP需要开放的端口号和防火墙规则是否已在监视对象服务器启用。 要确保 Windows event log 和 TCP/IP Netbios helper 服务也都是开着的。
“匿名登录(Anonymous Logon)” 的相关解释
此文档可帮助客户更好地了解ADAP报表中出现的匿名登录原因: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups
报表中hostname显示为IP地址的可能原因?
如果您在DNS(域名系统)或hosts文件中没有特定主机名的条目,但您仍然能够解析IP地址,则解析可能是通过其他方式进行的,如NetBIOS名称解析或本地网络广播。 在Windows中,NetBIOS(网络基本输入/输出系统)是一种传统的网络协议,它提供了一种将本地网络中的计算机名称解析为IP地址的方法。它使用广播和名称解析协议,如NBNS (NetBIOS名称服务)来解析名称。 ...
如果报表中用户的主机名显示为用户对应机器的IP地址时,如何修正过来?
可能原因:这些IP 地址机器的主机名没有被ADAP服务器解析到,您可以在ADAP服务器的CMD中执行命令:nslookup <ip address>,查看结果中是否有相应IP地址的主机名。 解决方案:如果这些IP地址机器没有在ADAP服务器中解析出主机名,请将这些IP地址的机器添加到ADAP服务器中的 host ...
ADAP 使用默认数据库和外置数据库的区别以及数据库中存放的具体数据
ADAP “数据库” 将要存储的数据为: ①从已配置的服务器中收集的审计数据 ② 产品上进行的各种配置数据 产品默认数据库(PostgreSQL)默认将存在于产品安装文件夹中,因此需要您为安装驱动器提供足够的空间。 外配 MSSQL 将出现在您选择的任何服务器上,对于产品服务器安装驱动器空间大小要求会更低。除此之外,没有特别的区别。
ADAudit Plus 如何查询第三方应用使用AD集成身份验证AD用户登录应用的相关信息(事件号4624)
先在ADAP中开启”网络登录类型的审核“(如上图),然后到本地登录报表中查看。
如何查看ADAP支持审核的所有事件号?
请到产品界面---支持---支持信息---更多---数据库查询(audeventID,如下图): 通过使用"Ctrl+F", 可快速查询某个事件号情况。
莫名有很多用户修改事件什么原因?
首先,对于ADAP而言,这是正常现象,因为ADAP只是具有记录本地AD域事件的功能。具体原因可建议客户通过事件号在微软的官网上查出具体事件背后的原因(参考链接如下): https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4724
使用ADAP需要注意的事项(链接为英文)
1. 系统要求: https://www.manageengine.com/products/active-directory-audit/help/getting-started/system-requirements.html 2. 安装方式(强烈建议要安装为服务,并用IE以外的浏览器访问): ...
从产品服务器 "Telnet <EMC Isilon 服务名称> 端口" 报错无法连接的原因
因为Telnet用的是TCP协议, 比如说192.168.80.131(dsap.com)在514端口上启了个UDP的服务,这时使用Telnet 192.168.80.131 8888/ dsap.com 514,就会报如下错误: Telnet 无法打开到主机的连接。在端口 514:连接失败 解决方案: 可在安装产品服务器上下载一个第3方工具测试,如:PortQry
ADA怎样实现分钟级别的告警?比如非工作时间,有人登录了敏感设备,马上产生告警并推送出来?
可以通过告警模块实现,具体如下: 1.新建告警配置文件: 2.选择所有的用户登录: 3.高级配置按照如下选择:过滤器的IP地址或者其它条件可以定义敏感设备,选择对应的通知方式,保存即可。
添加域控失败可能原因
1. 按照产品的“排错提示”排错(如若都不行,可检查原因2中的问题。) 2. 查看域控名称是否正确(域控名称一般为DC完整设备名+域名,正确名称如下图所示):
升级步骤
以下为ADAP升级步骤(适用于数据库为PostgreSQL): 1. 先为安装ADAudit Plus的服务器做快照。 2. 停止ADAudit Plus 服务。 3. 导航到“ADAudit Plus安装文件夹”并压缩备份此文件夹到任意位置。 4. 下载版本号所需的PPM文件到ADAudti Plus所在服务器的任意位置。 ...
EMC Isilon 连接ADA 解决方案
Isilon 连接ADA问题报告: 问题描述: 转发Audit protocol log到第三方syslog服务器 问题总结: Isilon audit settings global modify --config-syslog-enabled=yes 在syslog服务器上启用UDP 514入站访问
查询服务器中程序使用端口情况
请参照如下链接中的命令,了解Linux和Windows服务器中某个端口使用情况: https://www.ibm.com/support/pages/how-can-i-check-if-application-listening-port-and-applications-name
ADA希望修改归档路径,并将原归档数据转移到新路径下,如何操作?
1.管理员登录,在下图位置修改新路径,然后保存。自此,新存归档的所有文件都将保存在新路径中。 2.将存档文件从旧路径复制并移动到新路径。 3.浏览到下图位置, 注:需要用admin登录,不然技术员登录不会出现上面的DB query 并在DB查询字段下执行下面给出的查询:update audbackupmetatable set base_db_backup_directory='<new path>' <new path> 中替换更新的路径。(使用SQL server也是在此处修改) ...
Syslog Forwarder的使用方式演示GIF(可查看设备如EMC Isilon中日志是否传送到ADAP)
下载链接请查看附件! Syslog Forwarder的使用方式演示GIF:
关于adap运行慢的参考建议:
关于adap运行慢的参考建议: 1. 增加服务器的硬件性能。 16-32G RAM, 8-16CPU 2. 增加conf\wrapper.conf中wrapper.java.maxmemory的值,单位为M 3. 将域控的事件获取间隔设置合适的轮询间隔。 如每隔2个小时,可以选取部分域控在1个小时后,手动运行收集下日志,这样域控的轮询时间就可以错开了。 1小时是一部分,1小时后是另一部分域控收集日志 4. 设置合适的归档间隔,保证数据库中的数据得到清理 5. ...
ADAP在域环境中用到的关于审核策略的命令!(可找出域中优胜策略)
1. 域环境服务器上执行命令:auditpol /get /category:* (查看已设置的系统审核策略) 2. 域环境中执行命令:rsop.msc (查看组策略对象) 3. 域环境中执行命令:GPRESULT /H GPReport.html (查看Winning GPO)
ADAP优化磁盘空间的方法
注意:LDAP Auditing 将默认数据改为1,要等到彻底“保存运行”完后,再改为15;改为15后,无需等到彻底“保存运行”结束。
报表导出pdf格式中文/繁体乱码
非pdf文字显示正常: pdf文字显示乱码: 解决方案: 在使用ADAP产品的机器上安装“华文宋体” 软件,附件为软件链接,可直接下载使用。
ADAP“自动”配置审核策略所需条件
1. 配置审核策略:https://www.manageengine.com/products/active-directory-audit/active-directory-auditing-configuration-guide-configure-audit-policies-automatically.html ...
ADA审计华为存储的介绍有吗?
可以参考此链接:https://www.manageengine.com/products/active-directory-audit/guide-to-configure-huawei-oceanstor-systems-auditing.html 有对应权限说明,及如何配置介绍:
ADAP-如何解除全局排除中的排除配置文件
如下图,由于默认的排除配置文件不可更改和删除,但是用户想审计该类型事件,如何解决? 请在支持标签中,点击更多,展开审核配置,可以手动启用或关闭ADAudit Plus审计某些事件。 注意:上述例子中,产品默认是不启用事件4624和事件4625的登录类型为3的网络登录审核事件,如果启用后,需考虑到短时间内由于大量的事件收集到产品中,磁盘的使用情况。
EMC Isilon 9x怎样配置?
问题:我们在配置我们环境的EMC Isilon File audit的时候没有看到文档里面提到的信息,还请提供一下9.X的版本的教程,谢谢 OneFS version 9.x 解决方案:可以给客户提供下列链接,有具体的配置步骤: https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP配置服务器或者域控时显示error code:6ba,怎么解决?
1.一般使用以下方法可以解决问题(大部分客户已经成功解决) The "RPC server unavailable Error code: 6ba " occurs when the software is unable to connect to the machines for collecting event logs. Please ensure the communication between ADAudit Plus and the concerned Member Server ...
ADAP-ADAudit Plus服务器什么情况下需要安装GPMC
ADAudit Plus服务器什么情况下需要安装GPMC? 1.自动配置审核策略时需要:ADAudit Plus服务器的组策略管理控制台 (GPMC:Group Policy Management Console) 中的组策略从目标计算机请求 RSoP(Resultant Set of Policy)数据。举例,比如在域设置那里自动为成员服务器和文件服务器配置审核策略: Before: After: (手动配置审核策略不需要安装GPMC。) ...
ADAP-点击部分标签网页上方会出现一部分空白(7050之后的builds)
如下图,在Build7050之后,点击“报表”、“文件审核”和“服务器审核”三个标签,页面上方会出现空白: 这是Build7050及之后builds的一个已知问题,该问题会在ADAudit Plus集成在AD360时(url是**/AppsHome)出现,单独的ADAudit Plus不会出现该问题(url是**/#/Home)。 解决方案: ...
ADAudit 归档日志载入后无反应怎么办?
问题:如下图所示,要查询2021.1月的powershell审核日志,但日志导载入时一直是以下界面,不知道是否载入成功。也无法搜索到需要的时间段日志,怎么解决? 解决方案: 如下界面:1.点击加载后一段时间 2.点击刷新 3.查看状态,由已卸载到载入中,最后变为“加载”后 4.在报表中查看数据
ADA中的EMC Isilon审计如何开启?
详细步骤请参考此链接:https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP多久执行一次归档计划?
默认每天2:00 am都会执行归档计划,看是否有满足归档条件的,一旦有满足条件的数据,将会被归档。也可以点击下图的立即执行,就可以运行归档计划。
ADAP-应用正式许可报错或界面卡住不动了
产品已过30天试用期,在浏览器界面应用正式许可提示Invalid或者Applying不动了,如何解决? ->请先确认许可中的uniqueid是否正确(尤其是小写的L和大写的i); ->请打开浏览器隐私模式应用许可(或者清理浏览器缓存); ->请在安装产品的本机的浏览器中应用许可。 如果还是不行,请按照如下步骤应用许可: 【首先从 https://downloads.zohocorp.com/dnd/ADAudit_Plus/CjmGcM7eMBlnn1o/petinfo_4.zip下载好文件】 ...
ADA怎样计算应该给予的磁盘空间大小?
可以参考此文档进行计算:https://www.manageengine.com/products/active-directory-audit/hard-disk-space-management.html
ADAP-产品会抓取哪些Windows Security日志?
当配置了相应的审核策略后,ADAudit Plus产品会从Windows机器的Eventviewer(事件查看器)中抓取安全日志。 如下图: 但是,ADAudit Plus不是抓取所有的安全日志,比如eventid=4911这样的事件不会被ADAudit Plus抓取,所以对应到产品的报表中也就没有报表可以看到此事件。 执行select * from audeventid语句可以获取ADAudit Plus产品抓取的Windows Security Events list.
ADA数据库占用磁盘过大,如何优化?
可以在如下界面查看数据使用量,适当缩短归档的时间,将未勾选的归档项勾选上以进行归档操作。如果以上都不能操作,需要考虑扩充磁盘空间。
如何用命令查看ADA中是否成功配置了审核策略?(配置了哪些审核策略)
以管理员身份运行如下命令,可查看: auditpol /get /category:* 然后可以与需要配置的策略进行对照:https://www.manageengine.cn/products/active-directory-audit/help/
ADAP-可以审计到用户组织和职位等的更改记录吗?
当AD用户的组织(属性:department)、职位(属性:title)等发生更改时,会产生event(eventID:5136),所以如果ADAudit Plus产品中配置了相应的审核策略(如域控制器审核策略),会抓取到这样的event,然后同步到产品报表中。 比如下面这个AD变更概览报表(报表位置:报表->账户管理->所有的AD变更): 或者直接查看用户属性更改的详细报表(报表位置:报表->用户管理->用户属性的新旧值): ...
ADAP-应用正式许可时报错或界面卡住不动
在应用正式许可时,提示许可文件Invalid或者应用许可后界面卡着不动,如何解决? 解决方案: 1.检查xml文件中的UserInfo ACNTRL是否与uniqueid一样(i的大写与l的小写不一样)。 2.请去安装ADAudit Plus产品的本机的浏览器中应用许可;如果还是不行,请重启产品服务并打开浏览器的隐私窗口再试一下。 3.如果以上还是解决不了问题,请执行如下操作看是否可解决问题: 停掉服务(Start --> Run --> type services.msc ---> Stop ...
Next page