我想有一个 Splunk 查询来显示 LDAP 身份验证/绑定到一组 AD 服务器。但是,如果这可以通过 Windows 事件找到,那么我可以在 Splunk 中编写查询。我对 LDAP 和 Splunk 有点陌生...
当前搜索(15 分钟内有 50 个左右的结果):
index="winevent" host="AD Servers" serviceBindingInformation | stats count by Account_Name
这似乎只显示“消息=修改了目录服务对象”。这不是我们想要的。
另一个搜索(15 分钟内超过 6000 个结果):
index="winevent" host="AD Servers" LDAP
虽然我得到了更多的结果,但我似乎没有任何显示身份验证或 LDAP 绑定的内容。所有结果的事件代码是:
5136: 目录服务对象被修改
搜索 LDAP 身份验证的方式是否与我的搜索方式不同,或者是否应该在 AD 或 Splunk 上进行更改以允许查看 LDAP 身份验证?
谢谢, C