Mit der Konsolenanwendung können Benutzer Folgendes konfigurieren:
• Umschalten der Überwachung von Unter- oder übergeordneten Domänen
• Filtern von AD Änderungen
• Alarme einrichten
• Verwalten von Datendateien
Überwachungsdienst
Zeigt den Status der ADMonitor-Dienst zusammen mit dem Benutzerkonto, unter dem der Dienst läuft
WHO-Suchmodus einstellen
ADMonitor unterstützt mehrere Methoden, um festzustellen, wer eine Änderung an einem AD-Objekt vorgenommen hat. Dies ist im Dialogfeld WHO-Suchmodus einstellen konfigurierbar.
Das Kontrollkästchen Enable Detection of "WHO made a change to an Active Directory object" schaltet einfach die empfohlenen Standardeinstellungen um, das Kontrollkästchen selbst ist nicht an eine tatsächliche Einstellung gebunden. Die Einstellungen werden über die 3 untergeordneten Kontrollkästchen unten gesteuert:
Analyze "Account Management" events from the security event log
Verwendet Ereignisse aus dem Sicherheitsereignisprotokoll mit der Kategorie "Kontoverwaltung".
Analyze "Directory Service Access" events from the security event log
Verwendet Ereignisse aus dem Sicherheitsereignisprotokoll mit der Kategorie "Directory Service Access".
Analyze "Directory Services" event log
Verwendet Ereignisse aus dem "Directory Services"-Ereignisprotokoll (nur auf Domänencontrollern verfügbar), für die eine zusätzliche Diagnoseprotokollierung in diesem Ereignisprotokoll aktiviert werden muss; ADMonitor aktiviert dies automatisch. Die Menge der zusätzlich protokollierten Ereignisse hängt vom Netzwerk, der installierten Software von Drittanbietern und der Benutzeraktivität ab. Dies ist die genaueste Methode, um festzustellen, wer eine Änderung an einem Objekt vorgenommen hat.
|
Wenn Sie diese Einstellung aktivieren, wird die zusätzliche Protokollierung unter HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics aktiviert, was sich auf den Umfang der im Ereignisprotokoll "Directory Services" erzeugten Ereignisse auswirkt. |
Überwachung des Status / Überwachung zusätzlicher Domänen
Zusätzliche Domänen können überwacht werden, wenn der Host, auf dem ADMonitor installiert ist, Teil einer Domäne mit übergeordneten oder untergeordneten Domänen ist. Standardmäßig wird nur die Domäne überwacht, in der der Computer, auf dem ADMonitor ausgeführt wird. Zusätzliche Domänen werden im Bereich Überwachungsstatus angezeigt, aber standardmäßig nicht überwacht. Die Überwachung zusätzlicher Domänen kann durch Doppelklicken auf die Domäne und Aktivieren des Kontrollkästchens "Monitor subdomain.maindomain.com" aktiviert werden.
Globale Filter
Standardmäßig werden alle Änderungen an AD-Attributen und Objekten aufgezeichnet. Um Rauschen zu unterdrücken, kann der globale Filter verwendet werden, um bestimmte Änderungen herauszufiltern, zum Beispiel Änderungen an bestimmten Objekten oder Attributen. So werden z.B. Änderungen an den Attributen lastLogonTimestamp und msDS-LastSuccessfulInteractiveLogonTime standardmäßig ignoriert, um das Rauschen in der AD-Änderungshistorie zu reduzieren.
Filter können durch Klicken auf die Schaltfläche "Filter" konfiguriert werden.
Da ADMonitor alle Änderungen an AD-Objekten im lokalen Cache speichert, kann eine Verwaltung der Daten erforderlich sein:
•Alte Dateien löschen
•Alte Dateien komprimieren
•Dateien an einen anderen Speicherort verschieben (lokale oder Netzwerkfreigabe)
Unabhängig von der gewählten Option läuft die Datendateiverwaltung immer um 2:30 Uhr.
Durch Aktivieren des Kontrollkästchens "Für entfernten Viewer-Zugriff freigeben" wird das lokale DB-Unterverzeichnis als EventSentryADMonitorDB$ (eine versteckte Freigabe) mit Lesezugriff für Domain-Administratoren freigegeben. Diese Freigabe wird vom ADMonitor Viewer für den Fernzugriff auf archivierte Datendateien verwendet. Folglich sollte diese Aktion auf dem Host ausgeführt werden, auf dem sich die Datendateien befinden. Wenn Sie das Kontrollkästchen deaktivieren, wird die Freigabe wieder entfernt.
|
Wenn Sie Netzwerkspeicher wählen, muss die Zielfreigabe dem Benutzer von EventSentryADMonitor Schreibzugriff erlauben. Zur Erhöhung der Sicherheit wird dringend empfohlen, nur Schreibzugriff auf das Verzeichnis zuzulassen (Schreibzugriff auf Freigaben wird nicht unterstützt), wie in der Abbildung unten gezeigt.
|
Benachrichtigungen
Der empfohlene Weg, Änderungen an AD-Objekten zu überprüfen, ist über die Web-Reports, die sowohl On-Demand-Suchen als auch Berichte & Jobs unterstützen. Für Fälle, in denen sofortige Benachrichtigungen zu AD-Objekten erforderlich sind, können Benachrichtigungen in der Konsole auf der Registerkarte Benachrichtigungen eingerichtet werden.
