Комментарии 2
Жду продолжение. С MS Windows и Linux серверов отправляем логи в remote syslog на базе ELK. Очень нужные логи парсятся, остальные просто идут as is в поле message. А к стыду признаться, события MS Win пока руки не дошли облагородить и начать мониторить важнейшие события. Может Ваши статьи сподвигнут более грамотно настроить аудит и парсинг нужного с заменой числовых значений на человекочитаемые значения.
Может подскажете как можно вытащить дату последнего использования учётной записи AD?
lastlogon по факту похоже показывает дату последнего входа в сеанс винды. Т.е. к примере при заходе на файловую шару с недоменного компа(и вводе логина\пароля) он не обновляется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Аудит событий безопасности ОС Windows. Часть 1. Настройки аудита