¡Interpretar los datos de auditoría de Active Directory no es tan simple!

Hacía tiempo que no necesitaba revisar los registros de eventos para averiguar algún cambio en Active Directory. Habiendo recién ingresado a Netwrix, pensé que podría ser una buena idea dedicar un tiempo a revisar la auditoría de Windows y en particular lo Nuevo en Windows Server con AD DS (Domain Services) en cuanto a registro de eventos. Me sorprendió ver que, a pesar del progreso, algunos problemas de registro de AD DS persisten.

Ya había visto las nuevas configuraciones de AD DS de 2008 que proporcionan valores de antes y después para los cambios aplicados a objetos de AD, pero lo que no sabía era si esta característica era utilizable o no. Descubrí que el viejo adagio “Puede que obtengas más de lo que esperabas...” se aplicaba directamente en este caso. Algunos de los problemas de auditoría de AD DS eran bastante difíciles de superar.

Para cambios simples de datos, el registro nativo funciona bastante bien una vez que ordenas los registros y encuentras el evento correcto. Una vez que encuentras el evento solo necesitas revisar los detalles para averiguar qué cambió – esa es la parte fácil.

Mi experiencia con cambios más complejos fue menos intuitiva de lo que esperaba, principalmente debido a la forma en que Windows escribe los datos de eventos. Hice lo que pensé que era un cambio simple al delegar derechos de seguridad de usuario en un grupo. Luego fui a los registros de eventos para buscar el cambio. Después de filtrar un par de docenas de eventos, encontré el evento que mostraba el cambio real. Al revisar el evento, descubrí que dejaba los detalles de seguridad actualizados en el formato interno de AD en lugar de mostrarlo en un formato legible por humanos. Esperaba ver los datos como se muestran en la pestaña de Seguridad del grupo, lo que obtuve fue un montón de galimatías que no me dejó entender qué había cambiado.

A medida que comencé a investigar un poco, encontré otros atributos que también se escribían en los registros de eventos en un formato crudo de AD DS que es totalmente ininteligible. Y así, durante el transcurso de una hora o más investigando un poco más este problema, comencé a resentir el hecho de que esta información simplemente no se presenta de una manera que sea utilizable directamente. También tuve un aprecio mucho mayor por la forma en que nuestra solución de change auditing se centra en el evento(s) correcto y muestra rápidamente estos datos en un formato simple, eficiente y legible por humanos.

Haga clic aquí para obtener más información sobre Netwrix Active Directory Change Reporter.