Det finns vissa saker som Microsoft bygger in i sin produkt som är fantastiskt, medan andra saker bara är patetiska! När det gäller att övervaka Active Directory så finns det både och. Men genom att använda de bra och komplettera det dåliga med andra alternativ kan en fantastisk lösning uppnås!
Det bra och dåliga när det kommer till övervakning av Active Directory
Det bra som Microsoft tillhandahåller när det gäller övervakning av Active Directory är de detaljerade loggar som kan genereras. Microsoft tillhandahåller både "Auditing" och "Advanced Auditing" för domänkontrollanter som kör Windows Server 2008 R2 eller senare. När auditing är konfigurerad för de olika objekten (användare, grupper, datorer, Group Policy, etc.) i Active Directory kommer nästan alla skapade, ändrade eller borttagna objektet att generera en post i säkerhetsloggen.
Det är den bra delen!
Det dåliga är att du inte har något bra alternativ för att analysera, rapportera, eller hitta de poster som du söker. Det finns många anledningar till detta:
- Storleken på säkerhetsloggen är begränsad till 4 GB, och Microsoft rekommenderar att den inte skall vara större än 300MB
- Med en loggstorlek på 4 GB, kommer du att generera 3 till 10 loggar per domänkontrollant och dag
- Varje domänkontrollant kommer att ha en unik uppsättning av loggar eftersom loggar inte replikeras mellan domänkontrollanter eller konsolideras på något sätt
- Filtreringsmöjligheten i Event Viewer ger inte granulära filter, utan filtrerar bara ner till Event ID nivå
- Varningar är möjligt, men endast på den angivna Event ID nivån, vilket skulle kunna skapa många false positives för de flesta objekt du vill spåra
Med alla dessa stora begränsningar, är det verkligen inte är möjligt att använda Event Viewer för analys och rapportering.
Är du intresserad av att övervinna de begränsningar som du har med att endast använda Microsofts lösningar?
Då rekommendera jag att du tar kontakt med Inuit så kan de visa hur effektiv ADAudit Plus är.