域控服务器中用户日志

在域控服务器（Active Directory Domain Controller）中，用户日志是监控和管理网络安全、排查问题的重要工具，主要包含以下几类关键日志及扩展知识：

1. 安全日志（Security Log）

记录与用户认证、权限变更相关的安全事件，例如：

- 用户登录/注销（事件ID 4624、4634）

- 失败的登录尝试（事件ID 4625）

- 账户锁定（事件ID 4740）

- 特权组变更（如用户添加到管理员组，事件ID 4728、4732）

- 策略修改（如密码策略调整，事件ID 4739）

*扩展：可通过“高级安全审计策略”细化监控对象，例如跟踪特定用户的文件访问行为。*

2. 目录服务日志（Directory Service Log）

记录Active Directory核心服务的操作，例如：

- 域控制器同步（事件ID 4928、4929）

- 对象属性修改（如用户信息更新，事件ID 5136）

- 复制错误（事件ID 1988）

*扩展：启用“诊断日志”可捕捉更详细的 replication 问题，需谨慎配置避免日志膨胀。*

3. 文件复制服务日志（File Replication Service Log）

监控SYSVOL文件夹复制状态，事件ID 13508表示复制失败，通常与DNS或网络问题相关。

4. 用户登录活动深度分析

- 交互式登录：物理登录服务器（事件ID 4624，登录类型1）

- 网络登录：通过共享或服务访问（登录类型3）

- Kerberos票据：关注事件ID 4768（票据请求）、4771（预认证失败）以识别暴力破解。

*扩展：结合LogonType和IP地址可定位异常登录地理位置。*

5. 日志收集与关联分析

- 使用Windows事件转发（WEF）集中管理多域控日志。

- 通过SIEM工具（如Splunk、ELK）关联分析日志，检测横向移动攻击。

- PowerShell脚本示例：`Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625}` 可提取失败登录。

6. 审计策略配置建议

- 启用“账户管理”审计（组策略路径：`Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy`）。

- 日志保留策略需符合合规要求（如GDPR），建议配置日志滚动归档。

7. 常见风险与应对

- 日志被篡改：配置日志转发或只读存储。

- 日志过大：启用日志分级（Critical/Warning/Verbose）并按需过滤。

域控日志分析需结合网络拓扑和业务场景，例如多域环境下需关注跨域信任关系的日志（事件ID 4648）。定期审核日志可有效发现密码喷洒、黄金票据等高级威胁。