Forum

Bildirimler
Hepsini Temizle

Audit policy

9 Yazılar
2 Üyeler
0 Reactions
2,078 Görüntüleme
(@mehmetergun)
Gönderiler: 204
Reputable Member
Konu başlatıcı
 

Netwrix'in account locked out examiner uygulamasını denemek için indirdim ve kurulumda bahsettiği gibi group policyden audit policydeki audit logon events, audit account management ve audit logon eventsi aktive ettim. Daha sonra event loga baktığımda sürekli kerberos ticket failure audit uyarılarıyle dolduğunu farkettim 1 dakika içinde bir sürü kerberos audit failure oluşuyordu bunlar remote desktop ile oturum açılan 2 sunucuda oturum açılmış 2 kullanıcı hesabından kaynaklandığını gördüm bu sunuculara gidip oturumları kapatmama rağmen bu loglar hala oluşuyordu.

Bu kerberos audit failuredan kurtulmak için group policyde varsayılan ayarlara döndüm ama değişen birşey olmadı aynı hataları almaya devam ettim. Webde araştırdığımda  Advanced Audit Policy Configuration | Account Managementtan kerberosla ilgili failure vermesin diye ilgili özelliği kapattım. Bir süre sonra loglara baktığımda logon/logofla ilgili hiç log düşmediğini gördüm. Plocyde değiştirdiğim tüm ayarları varsayılana döndüm ama ne yaptıysam artık auditle ilgili hiç log düşmüyor.

Bu problemi nasıl giderebilirim?

 
Gönderildi : 03/02/2018 15:48

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33292
Illustrious Member Yönetici
 

Merhaba

http://www.hakanuzuner.com/index.php/audit-force-audit-policy-subcategory-settings-windows-vista-or-later-to-override-audit-policy-category-settings.html

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/02/2018 21:40

(@mehmetergun)
Gönderiler: 204
Reputable Member
Konu başlatıcı
 

Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.

Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.

C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.

 Teşekkkürler

 
Gönderildi : 04/02/2018 00:20

(@mehmetergun)
Gönderiler: 204
Reputable Member
Konu başlatıcı
 

Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd408940(v=ws.10)

 
Gönderildi : 05/02/2018 15:51

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33292
Illustrious Member Yönetici
 

Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.

Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.

C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.

 Teşekkkürler

İki tane ss olacak success benim makale de öyle ise onu da düzelyeyim, böyle olmalı yani

 

auditpol /set /subcategory:"logon" /success:enable /failure:enable

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/02/2018 18:28

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33292
Illustrious Member Yönetici
 

Baktım benim makalede sorun yok, sanırım siz yazım hatası yapmışsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/02/2018 18:29

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33292
Illustrious Member Yönetici
 

Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd408940(v=ws.10)

Detay için teşekkürler, bende makaleme bu bölümü ekledim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/02/2018 18:37

(@mehmetergun)
Gönderiler: 204
Reputable Member
Konu başlatıcı
 

Aa evet s eksik yazmış olabilirim, genelde success s'ini addressin d'sini sıklıkla unuturum. 🙂 Ama unutmam iyi olmuş başka bir şey öğrenmiş oldum. 🙂

Ek olarak yukarıdaki linkte bahsedilen dosyayı ayrıca c:\windows\security\audit\ altından da silmek gerekiyor, aksi halde sorun düzelmiyor.

Kolay gelsin

 
Gönderildi : 06/02/2018 19:13

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33292
Illustrious Member Yönetici
 

Eyvallah 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 07/02/2018 02:52

Paylaş: