Interpréter les données d'audit Active Directory, pas si simple !

Cela faisait un moment que je devais examiner les journaux d'événements pour comprendre certains changements dans Active Directory. Ayant récemment rejoint Netwrix, j'ai pensé qu'il serait bon de prendre un peu de temps pour revoir l'audit Windows et en particulier les nouveautés de Windows Server avec la journalisation AD DS (Domain Services). J'ai été surpris de constater que malgré les progrès, certains problèmes de journalisation AD DS persistent.

J'avais déjà vu les nouveaux paramètres AD DS de 2008 qui fournissent des valeurs avant et après pour les modifications appliquées aux objets AD, mais ce que je ne savais pas, c'était si cette fonctionnalité était utilisable ou non. J'ai découvert que le vieux dicton « Vous pourriez obtenir plus que ce que vous avez négocié... » s'appliquait directement dans ce cas. Certains des problèmes d'audit AD DS étaient assez difficiles à contourner.

Pour des modifications de données simples, la journalisation native fonctionne assez bien – une fois que vous avez trié les journaux et trouvé l'événement correct. Une fois que vous trouvez l'événement, il vous suffit de passer en revue les détails pour comprendre ce qui a changé – c'est la partie facile.

Mon expérience avec des modifications plus complexes a été moins intuitive que prévu, principalement en raison de la manière dont Windows écrit les données d'événements. J'ai effectué ce que je pensais être un changement simple en déléguant des droits de sécurité à un utilisateur sur un groupe. Je me suis ensuite rendu dans les journaux d'événements pour rechercher le changement. Après avoir filtré une vingtaine d'événements, j'ai trouvé l'événement qui montrait le changement réel. Lorsque j'ai examiné l'événement, j'ai constaté qu'il laissait les détails de sécurité mis à jour dans le format interne AD plutôt que de les afficher dans un format lisible par l'homme. Je m'attendais à voir les données comme elles sont affichées dans l'onglet Sécurité du groupe, ce que j'ai obtenu était un tas de charabia qui ne me laissait aucune compréhension de ce qui avait changé.

Alors que je commençais à faire un peu de recherche, j'ai trouvé d'autres attributs qui étaient également écrits dans les journaux d'événements dans un format brut de AD DS totalement inintelligible. Et donc, après une heure ou plus à creuser davantage cette question, j'ai commencé à ressentir le fait que ces informations ne sont tout simplement pas présentées de manière utilisable clé en main. J'ai également eu une appréciation grandement accrue pour la manière dont notre solution d'change auditing se concentre précisément sur le(s) bon(s) événement(s) et affiche rapidement ces données dans un format simple, efficace et lisible par l'homme.

Cliquez ici pour plus d'informations sur Netwrix Active Directory Change Reporter.