Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Tool zur Ereignisprotokoll-Analyse

luk44
in IT-Arbeitswelt

Empfohlene Antworten

Veröffentlicht

Hallo zusammen, 

ich bin gerade auf Recherche für meinen Betrieb und wollte mich mal umhören, wie eure Betriebe das handhaben bzw. eure EDV. 

Zurzeit haben wir 3 DC-Server. Gewünscht bzw. gesucht von mir ist jetzt ein Tool, welches das Ereignisprotokoll filtert und beispielsweise alle 4625 Event ID zusammen ausgibt, sodass nicht auf jedem DC einzeln nachgeschaut werden muss. 

Habt ihr gute Softwareempfehlungen bzw. wie ist es bei euch gelöst? 

Vielen Dank vorab. 

 

Viele Grüße 

 

  • Autor
vor 7 Stunden schrieb RealPride:

Powershell nutzen und explizit nach dieser Event ID filtern.

PS: Powershell ist das beste administrative Tool, welches du nutzen kannst.

Klar per Powershell gehts, aber es würde trotzdem das Automatisierte hierbei fehlen. Eine Art Monitoring mit Meldung via Mail wenn sich beispielsweise ein Nutzer gesperrt hat ist gewünscht. 

  • Autor
vor 6 Minuten schrieb allesweg:

Welche automatisierte Überwachungssysteme habt ihr denn schon?

Oder generell: wie automatisiert ihr denn aktuell?

Bezüglich der DC noch garnicht. Wenn wir nachverfolgen möchten, wer, weshalb gesperrt ist, müssen wir erst auf jeden der DC einzeln nachschauen. 
Ansonsten arbeiten wir zum Sicherheitsmonitoring mit Falcon. 

Bearbeitet von luk44

In unserem globalen AD haben wir einen SCOM mit Audit Collector Service am laufen, der die relevanten Events der Security Logs der DCs einsammelt. Zusätzlich haben wir ein Webportal, über das sich die lokalen AD Admins der einzelnen Gesellschaften dann für ihren jeweiligen Userstamm bestimmte Events wie z.B. 4740 ausgeben lassen können (letzteres aber eine Eigenentwicklung).

In unseren "Alt-Domänen" haben wir das seinerzeit deutlich simpler gelöst: Es gibt ja Event getriggerte Scheduled Tasks, mit denen kann man sich seine Wunsch Events auch irgendwo zentral hinschreiben lassen.

In meiner Zeit als Consultant war ich einige Zeit bei einem Kunden beschäftigt der ein Produkt von Solarwinds im Einsatz hatte, was ebenfalls die Event Logs der DCs (und anderer Server) gesammelt hatte zwecks zentralem Monitoring, sah damals nicht verkehrt aus.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.