用于监视Windowsnetworking环境的软件(更改控制)

我需要在Microsoft Windowsnetworking环境中实施变更控制和审计。 我的问题是审计方法或更好的networking环境的变化。 这始于所有Active Directory更改。 我也想把它扩展到networking设备(如防火墙,路由器,交换机)和服务器。

对networking变化进行自动化审计将使我们能够validation提交的变更控制和这些变更的准确性。

你对这方面的软件有什么build议吗?

对于Active Directory部分,您可能需要了解某个function/方面。

Windows 2008引入了审计对象创build,删除,移动和修改的function。 信息包括谁执行了可审计的事件,以及对象的DN。 在修改的情况下,logging两个事件,它们基本上为您提供当前和以前的值。

这是使用以下命令在DC上启用的:

auditpol /set /subcategory:"directory service changes" /success:enable 

您还需要在AD用户和计算机中启用成功审核,通常在域级别。

当你将这个与事件日志转发结合起来,结果是一个非常强大和方便的function。 例如,我们configuration我们的dc将事件ID 5136-5139,5141转发到中央实用程序服务器上的“Forwarded Events”事件日志。

通过高度select性的XPath查询从收集服务器向DC简单地提取订阅以过滤噪音可以轻松地将您需要的内容带到单个位置,在那里可以存档,报告或导入到另一个报告系统。 这里是一个例子,如查询:

 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[( (EventID &gt;= 5136 and EventID &lt;= 5139) or EventID=5141) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select> <Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress> <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress> </Query> </QueryList> 

有些事情需要configuration订阅才能正常工作。 有些可以在组策略中完成。

更多信息:

AD DS审核分步指南
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx

configuration计算机以转发和收集事件
http://technet.microsoft.com/en-us/library/cc748890.aspx

快速和肮脏的Windows大型事件
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

我听说过有关Tripwire的好事,尽pipe我从未接触过它。