Interpretar dados de auditoria do Active Directory, não é tão simples!

Já fazia um tempo desde que precisei vasculhar logs de eventos para descobrir alguma alteração no Active Directory. Tendo acabado de entrar na Netwrix, pensei que seria uma boa ideia dedicar algum tempo para revisar a auditoria do Windows e, em particular, o que há de novo no Windows Server com AD DS (Domain Services) em termos de registro. Fiquei surpreso ao ver que, apesar do progresso, alguns problemas de registro do AD DS persistem.

Eu já tinha visto as novas configurações de AD DS de 2008 que fornecem valores de antes e depois para mudanças aplicadas a objetos AD, mas o que eu não sabia era se esse recurso era utilizável ou não. Descobri que o velho ditado “Você pode acabar recebendo mais do que esperava...” se aplicava diretamente neste caso. Alguns dos problemas de auditoria de AD DS eram bem difíceis de contornar.

Para alterações simples de dados, o registro nativo funciona razoavelmente bem – uma vez que você organize os registros e encontre o evento correto. Depois de encontrar o evento, basta revisar os detalhes para descobrir o que mudou – essa é a parte fácil.

Minha experiência com mudanças mais complexas foi menos intuitiva do que eu esperava, principalmente devido à maneira como o Windows registra os dados de eventos. Fiz o que pensei ser uma mudança simples ao delegar direitos de segurança de um usuário em um grupo. Depois, fui aos registros de eventos para procurar pela mudança. Após filtrar por algumas dezenas de eventos, encontrei o evento que mostrava a mudança real. Quando revisei o evento, percebi que ele deixou os detalhes de segurança atualizados no formato interno do AD em vez de mostrá-los em um formato legível para humanos. Eu esperava ver os dados como são exibidos na aba de Segurança do grupo, o que eu obtive foi um monte de palavras sem sentido que não me deixaram entender o que havia mudado.

À medida que comecei a pesquisar um pouco, encontrei outros atributos que também eram registrados nos logs de eventos em um formato bruto do AD DS que é totalmente ininteligível. E assim, ao longo de uma hora ou mais investigando um pouco mais sobre essa questão, comecei a ressentir-me do fato de que essas informações simplesmente não são apresentadas de uma maneira que seja utilizável diretamente. Também passei a ter uma apreciação muito maior pela maneira como nossa solução de change auditing se concentra nos eventos certos e rapidamente exibe esses dados de forma simples, eficiente e legível para humanos.

Clique aqui para mais informações sobre Netwrix Active Directory Change Reporter.