💈ADAudit Plus浅析
type
status
date
slug
summary
tags
category
icon
password
最后编辑时间
Jul 9, 2025 07:21 AM
order
漏洞编号
Author
简单分析了ADAudit Plus的产品逻辑
ADAudit Plus是一款基于Web的活动目录变更审计和报表解决方案,可帮助管理员审计和跟踪Windows活动目录中的所有变更,诸如用户、计算机、组、域策略变更和登录行为等,并通过丰富直观的报表呈现。此外,还可以对变更行为配置告警,及时通知管理员。
整体架构跟EventLog Analyzer类似,都是从windows eventlog中取日志存入pgsql数据库,利用xml文件对日志进行解析分类并生成各类报表。区别于数据库审计日志的关键是此处的日志策略是通过新建一个组策略对象和修改一个磨人的组策略对象设置的。
日志来源
域设置→事件日志属性
报表→高级DNS服务器审计来源:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Audit.evtx服务器审核→Powershell审计来源:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx配置文件
在 \ManagerEngine\ADAudit Plus\conf 目录中有大量的xml文件,用于解析日志中的字段,例如
kerberos-error-codes.xml 文件解析日志中 kerberos 认证错误代码的含义,如当error_code为 0x18 时,代表此错误是密码错误
与日志中的kerberos登录密码错误的信息一致
event-id.xml中记录了所有类别的eventid
策略更改
查看域控的策略,
auditpol/get /category:*安装ad之后
产品新建了一个组策略对象GPO——
ceshi.com_ADAuditPlusPolicy ,并且更改默认的域控策略,根据这些策略,事件日志中会记录对应的日志,再由ADAudit Plus记录解析。
Loading...