Отслеживание LDAP запросов к Active Directory с помощью perfmon

После внедрения в компании Active Directory на базе Windows 2008 R2 остро ощутили нехватку подробного лога соединений по протоколу LDAP. Необходимость в подобном логе часто возникает при решении задач интеграции в Active Directory различных Linux сервисов.
Под катом — описание метода, позволяющего получить лог содержащий: ip-адрес и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор атрибутов, количество записей в результате поиска и т.д.



Предварительно необходимо настроить сеанс отслеживания событий:

1. Запустить «Системный монитор»: Пуск → Выполнить… → perfmon.
2. Открыть Производительность → Группы сборщиков данных → Сеансы отслеживания событий.
3. В контекстном меню Создать → Группа сборщиков данных.
4. Задать понятное имя группы. Выбрать «Создать вручную (для опытных)». Нажать «Далее».
5. Нажать «Добавить» и выбрать поставщика данных «ActiveDirectory Domain Services: Core». Нажать «Далее».
6. Задать папку для сохранения отчёта. Нажать «Далее».
7. Выбрать «Сохранить и закрыть». Нажать «Готово».
8. Будет создан остановленный сеанс отслеживания событий. Для начала сбора информации следует его запустить. ВАЖНО!!! Запущенный сбор информации неизбежно увеличит нагрузку на ваш сервер — учитывайте это при запуске сбора на высоко нагруженном сервере.
9. По завершению сбора событий следует остановить сеанс.

Результатом сбора событий будет .etl файл в заданной папке.

Для анализа содержимого этого файла:

1. Запустить командную строку Пуск → Выполнить… → cmd
2. Перейти в папку с .elt файлом
3. Сконвертировать дамп в .csv для последующего анализа:
   

   	> tracerpt *.etl -of csv 

   
   обратите внимание — tracerpt умеет выгружать данные не только в csv, но и в xml и evtx.
4. На выходе будет два файла:
   summary.txt — сводка о захваченных событиях
   dumpfile.csv — собственно собранный дамп. Наиболее интересны события типа «DsDirSearch» — в ним будут зарегистрированы: ip и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор аттрибутов, количество записей в результате поиска.

P.S. Есть ещё как минимум один способ получить сведения о том, какие запросы поступили в Active Directory и что по ним нашлось: перехват трафика (Wireshark или Network Monitor). Но при использовании ssl перехват трафика становится более трудоёмким (и более ресурсоёмким).