ADAudit Plus
EMC Isilon 9x怎样配置?
问题:我们在配置我们环境的EMC Isilon File audit的时候没有看到文档里面提到的信息,还请提供一下9.X的版本的教程,谢谢 OneFS version 9.x 解决方案:可以给客户提供下列链接,有具体的配置步骤: https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP配置服务器或者域控时显示error code:6ba,怎么解决?
1.一般使用以下方法可以解决问题(大部分客户已经成功解决) The "RPC server unavailable Error code: 6ba " occurs when the software is unable to connect to the machines for collecting event logs. Please ensure the communication between ADAudit Plus and the concerned Member Server ...
ADAP-ADAudit Plus服务器什么情况下需要安装GPMC
ADAudit Plus服务器什么情况下需要安装GPMC? 1.自动配置审核策略时需要:ADAudit Plus服务器的组策略管理控制台 (GPMC:Group Policy Management Console) 中的组策略从目标计算机请求 RSoP(Resultant Set of Policy)数据。举例,比如在域设置那里自动为成员服务器和文件服务器配置审核策略: Before: After: (手动配置审核策略不需要安装GPMC。) ...
ADAP-点击部分标签网页上方会出现一部分空白(7050之后的builds)
如下图,在Build7050之后,点击“报表”、“文件审核”和“服务器审核”三个标签,页面上方会出现空白: 这是Build7050及之后builds的一个已知问题,该问题会在ADAudit Plus集成在AD360时(url是**/AppsHome)出现,单独的ADAudit Plus不会出现该问题(url是**/#/Home)。 解决方案: ...
ADAudit 归档日志载入后无反应怎么办?
问题:如下图所示,要查询2021.1月的powershell审核日志,但日志导载入时一直是以下界面,不知道是否载入成功。也无法搜索到需要的时间段日志,怎么解决? 解决方案: 如下界面:1.点击加载后一段时间 2.点击刷新 3.查看状态,由已卸载到载入中,最后变为“加载”后 4.在报表中查看数据
ADA中的EMC Isilon审计如何开启?
详细步骤请参考此链接:https://www.manageengine.com/products/active-directory-audit/guide-to-configure-emc-isilon-server-in-adauditplus.html
ADAP多久执行一次归档计划?
默认每天2:00 am都会执行归档计划,看是否有满足归档条件的,一旦有满足条件的数据,将会被归档。也可以点击下图的立即执行,就可以运行归档计划。
ADAP-应用正式许可报错或界面卡住不动了
产品已过30天试用期,在浏览器界面应用正式许可提示Invalid或者Applying不动了,如何解决? ->请先确认许可中的uniqueid是否正确(尤其是小写的L和大写的i); ->请打开浏览器隐私模式应用许可(或者清理浏览器缓存); ->请在安装产品的本机的浏览器中应用许可。 如果还是不行,请按照如下步骤应用许可: 【首先从 https://downloads.zohocorp.com/dnd/ADAudit_Plus/CjmGcM7eMBlnn1o/petinfo_4.zip下载好文件】 ...
ADA怎样计算应该给予的磁盘空间大小?
可以参考此文档进行计算:https://www.manageengine.com/products/active-directory-audit/hard-disk-space-management.html
ADAP-产品会抓取哪些Windows Security日志?
当配置了相应的审核策略后,ADAudit Plus产品会从Windows机器的Eventviewer(事件查看器)中抓取安全日志。 如下图: 但是,ADAudit Plus不是抓取所有的安全日志,比如eventid=4911这样的事件不会被ADAudit Plus抓取,所以对应到产品的报表中也就没有报表可以看到此事件。 执行select * from audeventid语句可以获取ADAudit Plus产品抓取的Windows Security Events list.
ADA数据库占用磁盘过大,如何优化?
可以在如下界面查看数据使用量,适当缩短归档的时间,将未勾选的归档项勾选上以进行归档操作。如果以上都不能操作,需要考虑扩充磁盘空间。
如何用命令查看ADA中是否成功配置了审核策略?(配置了哪些审核策略)
以管理员身份运行如下命令,可查看: auditpol /get /category:* 然后可以与需要配置的策略进行对照:https://www.manageengine.cn/products/active-directory-audit/help/
ADAP-可以审计到用户组织和职位等的更改记录吗?
当AD用户的组织(属性:department)、职位(属性:title)等发生更改时,会产生event(eventID:5136),所以如果ADAudit Plus产品中配置了相应的审核策略(如域控制器审核策略),会抓取到这样的event,然后同步到产品报表中。 比如下面这个AD变更概览报表(报表位置:报表->账户管理->所有的AD变更): 或者直接查看用户属性更改的详细报表(报表位置:报表->用户管理->用户属性的新旧值): ...
ADAP-应用正式许可时报错或界面卡住不动
在应用正式许可时,提示许可文件Invalid或者应用许可后界面卡着不动,如何解决? 解决方案: 1.检查xml文件中的UserInfo ACNTRL是否与uniqueid一样(i的大写与l的小写不一样)。 2.请去安装ADAudit Plus产品的本机的浏览器中应用许可;如果还是不行,请重启产品服务并打开浏览器的隐私窗口再试一下。 3.如果以上还是解决不了问题,请执行如下操作看是否可解决问题: 停掉服务(Start --> Run --> type services.msc ---> Stop ...
ADAP&DSP-在文件活动审计方面工作方式有什么区别?
ADAudit Plus和DataSecurity Plus产品都支持文件服务器和工作站的文件活动审计,那两者有什么区别呢? 以Windows文件服务器文件活动审计举例(工作站、集群同理)。 ADAudit Plus:通过获取日志事件查看器(eventviewer)中的日志(events),然后在产品中以报表形式呈现给用户; architecture如下: 可以安装agent也可以不安装,安装agent会实现实时同步抓取到的日志到产品,不安装agent只能通过计划的间隔来同步日志数据。 ...
ADAP-文件活动(共享文件和非共享文件审计的各自报表在哪里查看?)
ADAudit Plus产品支持共享及非共享文件活动审计。 共享文件(夹)活动在如下报表查看: 非共享文件(夹)/本地文件活动在如下报表查看: 另外,ADAP审计文件活动是通过获取日志/event,基于SACL(系统访问控制列表)(可参考Manual configuration of SACL | Windows file audit | ADAudit Plus ...
ADAP-文件重命名报表已经支持显示旧文件名(Since7050Build)
Before 7050 Build: ADAudit Plus是(如Windows文件服务器:eventviewer)通过获取日志审计文件活动,所以日志本身记录了什么,ADAudit Plus的报表就包含什么字段值;由于日志本身只记录变更事件,即修改文件后的文件名称等,而不包含修改前的文件名,所以ADAudit Plus产品的报表中也并不包含旧文件(夹)名。Windows文件服务器、NetApp等都是基于日志审核的,报表都不完全体现‘旧’名称。 ...
ADAP-如何排除一些具有“迷惑性”的日志事件?
如果ADAudit Plus审计到了比如大量的用户登录失败事件(某用户一天几万条),首先要知道如果没有ADAudit Plus工具,其实这些大量的事件也是不停地在域控上产生,只是ADAudit Plus以一种报表形式友好地为用户呈现出来,帮助用户及时了解到这种AD异常事件。 ...
ADAP-高级GPO报表(组策略设置的变更)
“被修改”,“被添加”或者“被移除”的Details对应的都有可能是“常规/明细”标签下的值,这是System Changes,每一个如下的Change都会有: 比如: 再比如: 但有些GPOSettingsChanges会显示“被添加”或者“被移除”的具体Values,这取决于具体Change了什么GPOSettings,即这是exact details done by admins/users: 比如: 再比如: ...
ADA可以审计powershell命令吗?
可以的,详见下图:
ADAudit Plus的日志转发(SIEM集成),是怎样的原理?
1.原理:“SIEM 集成”选项允许您将数据从 ADAuditPlus 实时转发到外部 SIEM 产品或系统日志服务器。 2.是否实时转发?是的
ADAudit Plus日志归档后压缩比是多少?
ADA日志存档压缩比为10:1
ADAP-RPC错误
请先检查以下两项: 1.关于Windows防火墙入站规则: COM+ Network Access (DCOM-In) Remote Event Log Management (NP-In) Remote Event Log Management (RPC) Remote Event Log Management (RPC-EPMAP) 2.关于端口: Port "389" to communicate with the LDAP Protocol. Port "135" to ...
ADAudit Plus什么时候需要安装代理?
ADAudit Plus什么时候需要安装代理? 第一,如果是大型企业网络架构,建议使用代理,可以降低宽带使用率和平滑处理采集数据; 第二,无论网络规模大或小,但是如果(File servers&Windows servers)需要“实时”收集数据,则需要使用代理,“计划”的情况下可以不用代理; 无论域控是否安装代理,都是实时收集日志的,但是也可以对域控收集日志后计划同步到ADAudit Plus:
如何理解ADAudit Plus中”休眠管理员账户“报表
休眠管理员账户(Dormant Admin Account): 此报表列出了在指定的时间段内,没有任何admin操作的用户账户,通俗理解为"那些休眠的没有管理员操作的账户". 但是可以通过筛选找出指定的管理员账户或某些特殊账户,如下图:
ADAudit Plus中不审核的设备会占用许可吗?
如果启用了设备审核,则会占用许可;反之如果禁用了,则不会占用许可数。 如下图所示:
在ADAudit Plus中如何配置SIEM集成
如下图所示: 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用)和RFC,然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer,配置如下: 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog,那说明配置成功了。
关于ADAudit Plus中的DataEngine XNode服务
关于DataSecurity Plus中的DataEngine XNode服务: DataEngine是ADAuditPlus的一个新组件,用于更有效地存储和检索日志数据。 DataEngine将取代审计日志的数据库,这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。 如下截图所示,目前Powershell审计和文件审计的数据被存储在DataEngine中,其他数据存储在数据库。
ADAP数据库存储哪些信息:
我们将审核数据存储在数据库中,并在需要时通过用户界面显示它们。 We store the audit data in the database and display them when needed through the user-interface.
ADAP设置双因素的位置在哪里?
ADAP中LDAP审核的数据如何获得?
关于LDAP报表,需要进行如下配置才能成功获取报表: 1.LDAP身份验证审核日志记录在事件查看器中“应用程序和服务日志”类别下的“目录服务”中,并且应在LDAP Servers(DC)上更新以下注册表项,以启用这些日志。 2.打开注册表编辑器,然后导航到Local Machine-->System-->Current Control Set-->Services--->NTDS--->Diagnostics 3.将以下对象的值设置为5: Field Engineering LDAP ...
ADAP审计的事件ID描述
可以在此链接中查找:https://www.manageengine.com/products/active-directory-audit/kb/windows-event-log-id-list.html
ADAudit Plus(ADAP)支持HA吗?
ADAP6010版本开始支持HA,具体配置步骤如下: https://downloads.zohocorp.com/ADAudit_Plus/XqK0vPudvgg492p/High_Availability_Setup_Procedure.zip
能列举几个用户案例吗?
1)真功夫餐饮:真功夫餐饮有限公司的IT部门一直采用信息化手段进行日常工作上的管理,不断简化IT部门人员的工作,解放IT部门人员的双手,从AD管理到网络、系统管理等方面都采用信息化手段进行优化和管理,但是美中不足的就是,这些管理并没有相应的行为记录审计,包括AD活动目录跟人力资源部门自动整合帐号,这些动作是否成功,帐号是否成功创建,光靠人工去活动目录服务器上核验,工作量是非常庞大的。ADAudit ...
有哪些功能优势和亮点?
1)实时Windows活动目录(AD)审计,帮助了解即谁在什么时间什么地点进行了什么操作。 2)Windows登录/注销审计:内置用户登录活动、访问活动、权限变更审计报表;登录、注销审计报表等,直观清晰的了解AD域内的活动。 3)文件服务器审计:访问敏感文件,重要的文件的修改、删除、复制等操作,都可以通过ADAudit Plus审计到。 4)AI用户行为分析,帮助分析特权滥用、恶意登录等行为,保障企业数据安全。 5)开箱即用,预置了多种活动目录的审计报表。 ...
ADAudit Plus可以审计AZure AD吗?
答:ADAudit Plus可以对AZure AD上的用户登录、用户管理、组管理、设备管理、应用管理、设备管理、许可管理及目录管理等项目进行审计,并给出详尽的报表。
ADAudit Plus支持AI技术吗?
答:支持,ADAudit Plus可以跟踪用户的使用习惯、文件的使用习惯、日常服务器进程使用的数据,通过机器学习,从而分析出一些异常,并在服务器遭受攻击时主动采取一些相应的行动
3. ADAudit Plus按什么收费?
答:ADAudit Plus按照需要审计的域控制器数量、文件服务器数量、成员服务器数量以及工作站数量进行收费。更多信息请查看 https://www.manageengine.cn/active-directory-360/pricing-comporison.html获得帮助
有了微软Active Directory,为什么还要用ADAudit Plus ?
答:ADAudit Plus内置200+报表,可以非常直观的呈现出活动目录中的所有变更,帮助管理员了解是谁在什么时间什么地点执行了什么样的操作。它还可以审计文件服务器的变更,比如谁创建、修改、删除了哪些文件,以更好的预防数据泄露,特权滥用,恶意登录等。
ADAudit Plus是做什么用的 ?
答:ADAudit Plus是一款基于Web的活动目录变更审计和报表解决方案,可帮助管理员审计和跟踪Windows活动目录中的所有变更,诸如用户、计算机、组、域策略变更和登录行为等,并通过丰富直观的报表呈现。此外,还可以对变更行为配置告警,及时通知管理员。
Next page