Как интерпретировать события ID 4624 типа 3 на контроллере домена?
Я вижу много событий ID 4624 (тип входа 3) на контроллере домена (Windows Server 2012), и мне интересно, что это за события хочу сказать мне.
Я читал, что события 4624 типа 3 на контроллере домена говорят о том, что произошел сетевой вход в домен AD, но я не понимаю, что означает исходный сетевой адрес. Это источник входа в систему или цель, в которую пользователь хочет войти?
Адрес исходной сети был бы адресом запрос, порожденный из, но это могло быть локальным хостом или средством, которым не включена информация об источнике.
Вы уже, возможно, столкнулись с ним, но следующее включает много детали наряду с некоторыми полезными подходами аудита:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
Hope, который помогает
Проверяют записи PTR и Связывают Сайт с Подсетью
, Если требуется видеть сетевой адрес в событиях журнала существует две вещи, которые можно сделать для устранения.
1. В сервере DNS, проверьте это, у Вас есть обратная зона поиска. В противном случае создайте один с сетевым адресом Вашей подсети хостов.
2. Открытые Сайты Active Directory и Сервисы. Выполните развертку через 'Сайты> Подсети. Проверьте подсеть, создается с сетевым адресом CIDR для подсети и что это связывается с сайтом, который существует в той подсети (тот, который Ваш DC находится в).
3. На DC, откройте администратора cmd подсказка и тип, 'ipconfig/registerdns'
необходимо теперь видеть, что запись PTR для DC является новой Зоной Поиска Реверса DNS. Если Вы имеете дополнительные подсети с хостами в них, создаете обратные зоны поиска для тех хостов.
'идентификационные 4624 События (Тип 3 Входа в систему)' информационное событие должны теперь показать подсеть. Событие типа 3 - когда клиент получает доступ к сетевому входу в систему и/или долям sysvol для сценариев входа в систему или перечисления групповой политики и приложения.