phatair 39 Geschrieben 5. Mai 2023 Melden Teilen Geschrieben 5. Mai 2023 Hallo zusammen, ich bin gerade dabei das AD Audit zu überarbeiten, da wir ein Tool einführen mit dem wir die Überwachung verbessern. Nun ist es so, dass ein ehemaliger Kollege die SACL der Objekte so konfiguriert hatte, dass dort alle Klassen aktiviert sind. Das ist laut unserem Tool unnötig, da wir gezielte Klassen überwachen wollen und es gibt genaue Vorgaben welche man aktivieren soll. Ist es von Nachteil, wenn im Audit alle Klassen wie "Benutzer-Objekt erstellen", "Computer-Objekt erstellen", "msExchOmaDataSoruce-Objekt erstellen", usw. aktiviert ist? Macht das z.B. Performance Probleme oder ähnliches oder kann man sagen, macht Sinn, da man dann wenigstens alle Infos hat und abfragen könnte? Ich hätte jetzt gesagt, ich passe Sie an und wir protokollieren nur das mit, was wir auch benötigen. Danke euch. Gruß, Steffen Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 5. Mai 2023 Melden Teilen Geschrieben 5. Mai 2023 Moin, ja, Events zu generieren, die man nicht verarbeitet, ist performance-technisch von Nachteil. Vermutlich auch für euer Audit-Tool... 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 5. Mai 2023 Autor Melden Teilen Geschrieben 5. Mai 2023 Danke Evgenij, war auch mein Bauchgefühl, aber war etwas verunsichert weil es so merkwürdig konfiguriert war. Dann habe ich jetzt noch ein bisschen was am Freitag zu tun :) Schönes WE. Jetzt habe ich doch noch eine Frage. Wenn ich die Audit Einträge so granular mache und für jede Klasse eigene Berechtigungen erstelle, komme ich auf 10 Einträge. Dann informiert mich aber Microsoft, dsas dies zu Problemen führen kann und zeigt mir diese Warnung an. Die Einträge setzen wir auf die oberste Domänenebene. Gehe ich richtig in der Annahme, dass hier 10 Einträge kein Problem sind? Ich wüsste nicht wie ich die zusammenfassen soll. Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.348 Geschrieben 5. Mai 2023 Beste Lösung Melden Teilen Geschrieben 5. Mai 2023 Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft. Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus. Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 8. Mai 2023 Autor Melden Teilen Geschrieben 8. Mai 2023 Danke euch. Ich werde das mal beobachten. Wir lassen jetzt die granulare Berechtigung. Wir monitoren die Server alle und die DCs langweiligen sich sehr. Mal schauen ob sich das ändert, wenn ja weiß ich ja wo ich hin fassen muss. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.