Как стать автором
Обновить

Отслеживание LDAP запросов к Active Directory с помощью perfmon


После внедрения в компании Active Directory на базе Windows 2008 R2 остро ощутили нехватку подробного лога соединений по протоколу LDAP. Необходимость в подобном логе часто возникает при решении задач интеграции в Active Directory различных Linux сервисов.
Под катом — описание метода, позволяющего получить лог содержащий: ip-адрес и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор атрибутов, количество записей в результате поиска и т.д.



Предварительно необходимо настроить сеанс отслеживания событий:
  1. Запустить «Системный монитор»: Пуск → Выполнить… → perfmon.
  2. Открыть Производительность → Группы сборщиков данных → Сеансы отслеживания событий.
  3. В контекстном меню Создать → Группа сборщиков данных.
  4. Задать понятное имя группы. Выбрать «Создать вручную (для опытных)». Нажать «Далее».
  5. Нажать «Добавить» и выбрать поставщика данных «ActiveDirectory Domain Services: Core». Нажать «Далее».
  6. Задать папку для сохранения отчёта. Нажать «Далее».
  7. Выбрать «Сохранить и закрыть». Нажать «Готово».
  8. Будет создан остановленный сеанс отслеживания событий. Для начала сбора информации следует его запустить. ВАЖНО!!! Запущенный сбор информации неизбежно увеличит нагрузку на ваш сервер — учитывайте это при запуске сбора на высоко нагруженном сервере.
  9. По завершению сбора событий следует остановить сеанс.

Результатом сбора событий будет .etl файл в заданной папке.

Для анализа содержимого этого файла:
  1. Запустить командную строку Пуск → Выполнить… → cmd
  2. Перейти в папку с .elt файлом
  3. Сконвертировать дамп в .csv для последующего анализа:
    	> tracerpt *.etl -of csv 

    обратите внимание — tracerpt умеет выгружать данные не только в csv, но и в xml и evtx.
  4. На выходе будет два файла:
    summary.txt — сводка о захваченных событиях
    dumpfile.csv — собственно собранный дамп. Наиболее интересны события типа «DsDirSearch» — в ним будут зарегистрированы: ip и порт источника запроса, фильтр поиска, глубина (scope) поиска, запрошенный набор аттрибутов, количество записей в результате поиска.


P.S. Есть ещё как минимум один способ получить сведения о том, какие запросы поступили в Active Directory и что по ним нашлось: перехват трафика (Wireshark или Network Monitor). Но при использовании ssl перехват трафика становится более трудоёмким (и более ресурсоёмким).
Теги:
Хабы:
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.