ADAudit Plus
ADAP-点击部分标签网页上方会出现一部分空白(7050之后的builds)
如下图,在Build7050之后,点击“报表”、“文件审核”和“服务器审核”三个标签,页面上方会出现空白: 这是Build7050及之后builds的一个已知问题,该问题会在ADAudit Plus集成在AD360时(url是**/AppsHome)出现,单独的ADAudit Plus不会出现该问题(url是**/#/Home)。 解决方案: ...
ADAudit 归档日志载入后无反应怎么办?
问题:如下图所示,要查询2021.1月的powershell审核日志,但日志导载入时一直是以下界面,不知道是否载入成功。也无法搜索到需要的时间段日志,怎么解决? 解决方案: 如下界面:1.点击加载后一段时间 2.点击刷新 3.查看状态,由已卸载到载入中,最后变为“加载”后 4.在报表中查看数据
ADA中的EMC Isilon审计如何开启?
详细步骤请参考此链接:https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP多久执行一次归档计划?
默认每天2:00 am都会执行归档计划,看是否有满足归档条件的,一旦有满足条件的数据,将会被归档。也可以点击下图的立即执行,就可以运行归档计划。
ADAP-应用正式许可报错或界面卡住不动了
产品已过30天试用期,在浏览器界面应用正式许可提示Invalid或者Applying不动了,如何解决? ->请先确认许可中的uniqueid是否正确(尤其是小写的L和大写的i); ->请打开浏览器隐私模式应用许可(或者清理浏览器缓存); ->请在安装产品的本机的浏览器中应用许可。 如果还是不行,请按照如下步骤应用许可: 【首先从 https://downloads.zohocorp.com/dnd/ADAudit_Plus/CjmGcM7eMBlnn1o/petinfo_4.zip下载好文件】 ...
ADA怎样计算应该给予的磁盘空间大小?
可以参考此文档进行计算:https://www.manageengine.com/products/active-directory-audit/hard-disk-space-management.html
ADAP-产品会抓取哪些Windows Security日志?
当配置了相应的审核策略后,ADAudit Plus产品会从Windows机器的Eventviewer(事件查看器)中抓取安全日志。 如下图: 但是,ADAudit Plus不是抓取所有的安全日志,比如eventid=4911这样的事件不会被ADAudit Plus抓取,所以对应到产品的报表中也就没有报表可以看到此事件。 执行select * from audeventid语句可以获取ADAudit Plus产品抓取的Windows Security Events list.
ADA数据库占用磁盘过大,如何优化?
可以在如下界面查看数据使用量,适当缩短归档的时间,将未勾选的归档项勾选上以进行归档操作。如果以上都不能操作,需要考虑扩充磁盘空间。
如何用命令查看ADA中是否成功配置了审核策略?(配置了哪些审核策略)
以管理员身份运行如下命令,可查看: auditpol /get /category:* 然后可以与需要配置的策略进行对照:https://www.manageengine.cn/products/active-directory-audit/help/
ADAP-可以审计到用户组织和职位等的更改记录吗?
当AD用户的组织(属性:department)、职位(属性:title)等发生更改时,会产生event(eventID:5136),所以如果ADAudit Plus产品中配置了相应的审核策略(如域控制器审核策略),会抓取到这样的event,然后同步到产品报表中。 比如下面这个AD变更概览报表(报表位置:报表->账户管理->所有的AD变更): 或者直接查看用户属性更改的详细报表(报表位置:报表->用户管理->用户属性的新旧值): ...
ADAP-应用正式许可时报错或界面卡住不动
在应用正式许可时,提示许可文件Invalid或者应用许可后界面卡着不动,如何解决? 解决方案: 1.检查xml文件中的UserInfo ACNTRL是否与uniqueid一样(i的大写与l的小写不一样)。 2.请去安装ADAudit Plus产品的本机的浏览器中应用许可;如果还是不行,请重启产品服务并打开浏览器的隐私窗口再试一下。 3.如果以上还是解决不了问题,请执行如下操作看是否可解决问题: 停掉服务(Start --> Run --> type services.msc ---> Stop ...
ADAP&DSP-在文件活动审计方面工作方式有什么区别?
ADAudit Plus和DataSecurity Plus产品都支持文件服务器和工作站的文件活动审计,那两者有什么区别呢? 以Windows文件服务器文件活动审计举例(工作站、集群同理)。 ADAudit Plus:通过获取日志事件查看器(eventviewer)中的日志(events),然后在产品中以报表形式呈现给用户; architecture如下: 可以安装agent也可以不安装,安装agent会实现实时同步抓取到的日志到产品,不安装agent只能通过计划的间隔来同步日志数据。 ...
ADAP-文件活动(共享文件和非共享文件审计的各自报表在哪里查看?)
ADAudit Plus产品支持共享及非共享文件活动审计。 共享文件(夹)活动在如下报表查看: 非共享文件(夹)/本地文件活动在如下报表查看: 另外,ADAP审计文件活动是通过获取日志/event,基于SACL(系统访问控制列表)(可参考Manual configuration of SACL | Windows file audit | ADAudit Plus ...
ADAP-文件重命名报表已经支持显示旧文件名(Since7050Build)
Before 7050 Build: ADAudit Plus是(如Windows文件服务器:eventviewer)通过获取日志审计文件活动,所以日志本身记录了什么,ADAudit Plus的报表就包含什么字段值;由于日志本身只记录变更事件,即修改文件后的文件名称等,而不包含修改前的文件名,所以ADAudit Plus产品的报表中也并不包含旧文件(夹)名。Windows文件服务器、NetApp等都是基于日志审核的,报表都不完全体现‘旧’名称。 ...
ADAP-如何排除一些具有“迷惑性”的日志事件?
如果ADAudit Plus审计到了比如大量的用户登录失败事件(某用户一天几万条),首先要知道如果没有ADAudit Plus工具,其实这些大量的事件也是不停地在域控上产生,只是ADAudit Plus以一种报表形式友好地为用户呈现出来,帮助用户及时了解到这种AD异常事件。 ...
ADAP-高级GPO报表(组策略设置的变更)
“被修改”,“被添加”或者“被移除”的Details对应的都有可能是“常规/明细”标签下的值,这是System Changes,每一个如下的Change都会有: 比如: 再比如: 但有些GPOSettingsChanges会显示“被添加”或者“被移除”的具体Values,这取决于具体Change了什么GPOSettings,即这是exact details done by admins/users: 比如: 再比如: ...
ADA可以审计powershell命令吗?
可以的,详见下图:
ADAudit Plus的日志转发(SIEM集成),是怎样的原理?
1.原理:“SIEM 集成”选项允许您将数据从 ADAuditPlus 实时转发到外部 SIEM 产品或系统日志服务器。 2.是否实时转发?是的
ADAudit Plus日志归档后压缩比是多少?
ADA日志存档压缩比为10:1
ADAP-RPC错误
请先检查以下两项: 1.关于Windows防火墙入站规则: COM+ Network Access (DCOM-In) Remote Event Log Management (NP-In) Remote Event Log Management (RPC) Remote Event Log Management (RPC-EPMAP) 2.关于端口: Port "389" to communicate with the LDAP Protocol. Port "135" to ...
ADAudit Plus什么时候需要安装代理?
ADAudit Plus什么时候需要安装代理? 第一,如果是大型企业网络架构,建议使用代理,可以降低宽带使用率和平滑处理采集数据; 第二,无论网络规模大或小,但是如果(File servers&Windows servers)需要“实时”收集数据,则需要使用代理,“计划”的情况下可以不用代理; 无论域控是否安装代理,都是实时收集日志的,但是也可以对域控收集日志后计划同步到ADAudit Plus:
如何理解ADAudit Plus中”休眠管理员账户“报表
休眠管理员账户(Dormant Admin Account): 此报表列出了在指定的时间段内,没有任何admin操作的用户账户,通俗理解为"那些休眠的没有管理员操作的账户". 但是可以通过筛选找出指定的管理员账户或某些特殊账户,如下图:
ADAudit Plus中不审核的设备会占用许可吗?
如果启用了设备审核,则会占用许可;反之如果禁用了,则不会占用许可数。 如下图所示:
在ADAudit Plus中如何配置SIEM集成
如下图所示: 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用)和RFC,然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer,配置如下: 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog,那说明配置成功了。
关于ADAudit Plus中的DataEngine XNode服务
关于DataSecurity Plus中的DataEngine XNode服务: DataEngine是ADAuditPlus的一个新组件,用于更有效地存储和检索日志数据。 DataEngine将取代审计日志的数据库,这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。 如下截图所示,目前Powershell审计和文件审计的数据被存储在DataEngine中,其他数据存储在数据库。
ADAP数据库存储哪些信息:
我们将审核数据存储在数据库中,并在需要时通过用户界面显示它们。 We store the audit data in the database and display them when needed through the user-interface.
ADAP设置双因素的位置在哪里?
ADAP中LDAP审核的数据如何获得?
关于LDAP报表,需要进行如下配置才能成功获取报表: 1.LDAP身份验证审核日志记录在事件查看器中“应用程序和服务日志”类别下的“目录服务”中,并且应在LDAP Servers(DC)上更新以下注册表项,以启用这些日志。 2.打开注册表编辑器,然后导航到Local Machine-->System-->Current Control Set-->Services--->NTDS--->Diagnostics 3.将以下对象的值设置为5: Field Engineering LDAP ...
ADAP审计的事件ID描述
可以在此链接中查找:https://www.manageengine.com/products/active-directory-audit/kb/windows-event-log-id-list.html
ADAudit Plus(ADAP)支持HA吗?
ADAP6010版本开始支持HA,具体配置步骤如下: https://downloads.zohocorp.com/ADAudit_Plus/XqK0vPudvgg492p/High_Availability_Setup_Procedure.zip
能列举几个用户案例吗?
1)真功夫餐饮:真功夫餐饮有限公司的IT部门一直采用信息化手段进行日常工作上的管理,不断简化IT部门人员的工作,解放IT部门人员的双手,从AD管理到网络、系统管理等方面都采用信息化手段进行优化和管理,但是美中不足的就是,这些管理并没有相应的行为记录审计,包括AD活动目录跟人力资源部门自动整合帐号,这些动作是否成功,帐号是否成功创建,光靠人工去活动目录服务器上核验,工作量是非常庞大的。ADAudit ...
有哪些功能优势和亮点?
1)实时Windows活动目录(AD)审计,帮助了解即谁在什么时间什么地点进行了什么操作。 2)Windows登录/注销审计:内置用户登录活动、访问活动、权限变更审计报表;登录、注销审计报表等,直观清晰的了解AD域内的活动。 3)文件服务器审计:访问敏感文件,重要的文件的修改、删除、复制等操作,都可以通过ADAudit Plus审计到。 4)AI用户行为分析,帮助分析特权滥用、恶意登录等行为,保障企业数据安全。 5)开箱即用,预置了多种活动目录的审计报表。 ...
ADAudit Plus可以审计AZure AD吗?
答:ADAudit Plus可以对AZure AD上的用户登录、用户管理、组管理、设备管理、应用管理、设备管理、许可管理及目录管理等项目进行审计,并给出详尽的报表。
ADAudit Plus支持AI技术吗?
答:支持,ADAudit Plus可以跟踪用户的使用习惯、文件的使用习惯、日常服务器进程使用的数据,通过机器学习,从而分析出一些异常,并在服务器遭受攻击时主动采取一些相应的行动
3. ADAudit Plus按什么收费?
答:ADAudit Plus按照需要审计的域控制器数量、文件服务器数量、成员服务器数量以及工作站数量进行收费。更多信息请查看 https://www.manageengine.cn/active-directory-360/pricing-comporison.html获得帮助
有了微软Active Directory,为什么还要用ADAudit Plus ?
答:ADAudit Plus内置200+报表,可以非常直观的呈现出活动目录中的所有变更,帮助管理员了解是谁在什么时间什么地点执行了什么样的操作。它还可以审计文件服务器的变更,比如谁创建、修改、删除了哪些文件,以更好的预防数据泄露,特权滥用,恶意登录等。
ADAudit Plus是做什么用的 ?
答:ADAudit Plus是一款基于Web的活动目录变更审计和报表解决方案,可帮助管理员审计和跟踪Windows活动目录中的所有变更,诸如用户、计算机、组、域策略变更和登录行为等,并通过丰富直观的报表呈现。此外,还可以对变更行为配置告警,及时通知管理员。
ADAudit LAPS审计
1. 点击域设置 2. 选择域名, 点击'更新域对象' 3. 选择 '对象属性' 4. 保存
adap为什么要创建GPO ?
We create GPO for enabling audit policies in workstations, member servers and file server. Audit policies on the respective GPO will be applied on the configured devices. For DC's it will be the default DC policy.
adap能否审计到本地用户登陆操作?
可以。我在计算机08r125上新建一个本地账户local1,然后使用local1登陆到本地,就是通过08r125\local1方式登陆,adap的本地登陆报表完全可以审计到。