How to become an author
Search
Write a publication
Pull to refresh

Отслеживание LDAP запросов к Active Directory с помощью perfmon

Lumber room
Invite pending

После внедрения в компании Active Directory на базе Windows 2008 R2 остро ощутили нехватку подробного лога соединений по протоколу LDAP. Необходимость в подобном логе часто возникает при решении задач интеграции в Active Directory различных Linux сервисов.
Под катом — описание метода, позволяющего получить лог содержащий: ip-адрес и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор атрибутов, количество записей в результате поиска и т.д.



Предварительно необходимо настроить сеанс отслеживания событий:
  1. Запустить «Системный монитор»: Пуск → Выполнить… → perfmon.
  2. Открыть Производительность → Группы сборщиков данных → Сеансы отслеживания событий.
  3. В контекстном меню Создать → Группа сборщиков данных.
  4. Задать понятное имя группы. Выбрать «Создать вручную (для опытных)». Нажать «Далее».
  5. Нажать «Добавить» и выбрать поставщика данных «ActiveDirectory Domain Services: Core». Нажать «Далее».
  6. Задать папку для сохранения отчёта. Нажать «Далее».
  7. Выбрать «Сохранить и закрыть». Нажать «Готово».
  8. Будет создан остановленный сеанс отслеживания событий. Для начала сбора информации следует его запустить. ВАЖНО!!! Запущенный сбор информации неизбежно увеличит нагрузку на ваш сервер — учитывайте это при запуске сбора на высоко нагруженном сервере.
  9. По завершению сбора событий следует остановить сеанс.

Результатом сбора событий будет .etl файл в заданной папке.

Для анализа содержимого этого файла:
  1. Запустить командную строку Пуск → Выполнить… → cmd
  2. Перейти в папку с .elt файлом
  3. Сконвертировать дамп в .csv для последующего анализа: 
    	> tracerpt *.etl -of csv

    обратите внимание — tracerpt умеет выгружать данные не только в csv, но и в xml и evtx.
  4. На выходе будет два файла:
    summary.txt — сводка о захваченных событиях
    dumpfile.csv — собственно собранный дамп. Наиболее интересны события типа «DsDirSearch» — в ним будут зарегистрированы: ip и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор аттрибутов, количество записей в результате поиска.


P.S. Есть ещё как минимум один способ получить сведения о том, какие запросы поступили в Active Directory и что по ним нашлось: перехват трафика (Wireshark или Network Monitor). Но при использовании ssl перехват трафика становится более трудоёмким (и более ресурсоёмким).
Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr