在线审计服务方案模板（用户登录活动的实时审计）

用户访问计算机是各种规模公司的日常任务。乍一看，访问日志可能看起来像简单的 Active Directory 事件，但它们对于系统管理员的各种审计/合规/操作需求很有价值。以下操作需要需要审核 Active Directory 用户登录日志：

• 员工缺勤和出勤确认

• 检查访问域控制器的用户数

• 检测通过远程网络计算机访问工作站或域控制器的用户

• 识别域内的用户登录高峰时间

• 确定谁最后登录到关键域计算机

• 识别是否有用户（恶意用户）尝试登录未经授权的终端

（*通常需要高权限才能登录 Active Directory 域控制器和成员服务器。）

• 查看域中所有用户的登录历史记录

（*在询问涉嫌不当行为的员工时，员工在工作期间访问和修改的 Active Directory 对象，例如计算机、组和其他用户您需要提供您的帐户信息.)。

Active Directory

一、为什么您可能需要用于 Active Directory 用户登录审核的工具

Active Directory 登录日志会持续记录在 Active Directory 域控制器安全日志中。域控制器事件查看器中记录的数据特征如下：

二、需要专业知识

要正确阅读事件日志，您必须了解事件 ID 与其他项目（登录类型）之间的相关性。

三、日志数据

大量的 Active Directory 登录活动会持续记录在域控制器上，从而产生大量事件日志数据。

四、访问权限

受限的域控制器是 Active Directory 中的一个关键组件，访问权限主要仅限于管理员。

ADAudit Plus

Active Directory 提供的事件查看器的另一个限制是它无法跟踪审计员/人力资源人员等非管理用户的登录操作。此外，关键登录事件（例如域控制器/成员服务器上的登录活动）需要在发生异常时立即发出警报和持续审核。但是，在庞大的日志输出中，很可能会忽略这一重要信息。