Interpretare i dati di audit di Active Directory, non così semplice!

Era passato un po' di tempo da quando avevo bisogno di esaminare i log degli eventi per capire qualche modifica in Active Directory. Avendo appena iniziato con Netwrix, ho pensato che potesse essere una buona idea dedicare del tempo alla revisione dell'auditing di Windows e in particolare alle Novità di Windows Server con AD DS (Domain Services) logging. Sono rimasto sorpreso nel vedere che nonostante i progressi alcuni problemi di logging di AD DS persistono.

Avevo già visto le nuove impostazioni di AD DS del 2008 che forniscono valori precedenti e successivi per le modifiche applicate agli oggetti AD, ma ciò che non sapevo era se questa funzionalità fosse utilizzabile o meno. Ho scoperto che il vecchio detto “Potresti ottenere più di quanto ti aspetti...” si applicava direttamente in questo caso. Alcuni dei problemi di auditing di AD DS erano piuttosto difficili da superare.

Per semplici modifiche ai dati, il logging nativo funziona abbastanza bene – una volta che si sfogliano i log e si trova l'evento corretto. Una volta trovato l'evento è sufficiente esaminare i dettagli per capire cosa è cambiato – quella è la parte facile.

La mia esperienza con modifiche più complesse è stata meno intuitiva di quanto mi aspettassi, principalmente a causa del modo in cui Windows scrive i dati degli eventi. Ho effettuato quella che pensavo fosse una semplice modifica delegando a un utente i diritti di sicurezza su un gruppo. Sono poi andato ai registri degli eventi per cercare la modifica. Dopo aver filtrato un paio di dozzine di eventi, ho trovato l'evento che mostrava la modifica effettiva. Quando ho esaminato l'evento, ho scoperto che lasciava i dettagli di sicurezza aggiornati nel formato interno di AD piuttosto che in un formato leggibile dall'uomo. Mi aspettavo di vedere i dati come vengono mostrati nella scheda Sicurezza del gruppo, quello che ho ottenuto è stato un mucchio di geroglifici che non mi hanno lasciato alcuna comprensione di cosa fosse cambiato.

Mentre iniziavo a fare un po' di ricerca, ho scoperto altri attributi che venivano scritti nei log degli eventi in un formato grezzo di AD DS completamente incomprensibile. E così, nel corso di un'ora o più di approfondimenti su questo problema, ho iniziato a risentirmi del fatto che queste informazioni semplicemente non sono presentate in un modo utilizzabile direttamente. Ho anche sviluppato un'enorme riconoscenza per il modo in cui la nostra soluzione di change auditing si concentra sugli eventi giusti e mostra rapidamente questi dati in un formato semplice, efficiente e leggibile dall'uomo.

Clicca qui per maggiori informazioni su Netwrix Active Directory Change Reporter.