{ "timestamp": 2024-05-29T14:32:52.509393+0200, "type": одно из значений "Authentication", "Authorization", "dsdbChange", "dsdbTransaction", "passwordChange", "replicatedUpdate", "groupChange", type: { data } }
Примечание
serviceDescription
), для параметра netlogonComputer
будет установлено значение «null», для параметра netlogonNegotiateFlags
будет установлено значение «0x00000000», другие параметры, оносящиеся к NETLOGON, будут иметь аналогичные пустые значения.
Таблица 6.16. Общие атрибуты
Атрибут
|
Значение
|
---|---|
version
|
Номер версии формата JSON. Состоит из двух частей:
Изменения в перечне возможных значений обычно не приводят к изменению версии. Это распространяется на все данные, предоставляемые клиентами. Также это относится, например, к атрибуту
passwordType , набор поддерживаемых форматов которого может меняться с течением времени без изменения версии в JSON.
|
Таблица 6.17. Атрибуты событий аутентификации
Атрибут
|
Значение
|
---|---|
authDescription
|
Тип аутентификации:
|
becameAccount
|
Имя учетной записи, под которой выполнен вход (может не совпадать со значением, предоставленным клиентом)
|
becameDomain
|
Имя домена, в который произведён вход
|
becameSid
|
Идентификатор безопасности (SID) аутентифицированной учетной записи
|
clientAccount
|
Имя учётной записи, предоставленное клиентом
|
clientDomain
|
Имя домена, предоставленное клиентом
|
duration
|
Время (в микросекундах), в течение которого выполнялась аутентификация
|
eventId
|
Идентификатор события Windows, указывающий в общих чертах, что произошло
|
localAddress
|
Адрес сервера и используемый порт
|
logonId
|
Случайный 64-битный идентификатор, помогающий отслеживать события входа в систему на разных этапах
|
logonType
|
Тип входа в Windows. Для Samba один из:
|
mappedAccount
|
Имя учетной записи клиента, преобразованное в имя учетной записи AD
|
mappedDomain
|
Имя домена клиента, преобразованное в доменное имя AD
|
netlogonComputer
|
Имя компьютера, заявленное при аутентификации через NETLOGON RPC
|
netlogonNegotiateFlags
|
Флаги NETLOGON, согласуемые в процессе взаимодействия клиента и сервера
|
netlogonSecureChannelType
|
Тип безопасного канала, используемого для входа по протоколу NETLOGON
|
netlogonTrustAccount
|
Учетная запись, используемая для аутентификации по протоколу NETLOGON
|
netlogonTrustAccountSid
|
Идентификатор безопасности (SID) учётной записи, используемый для аутентификации по протоколу NETLOGON
|
passwordType
|
Алгоритм/протокол пароля (например, «HMAC-SHA256», «NTLMv2», «arcfour-hmac-md5»)
|
remoteAddress
|
Заявленный адрес (и порт) удаленного клиента
|
serviceDescription
|
Тип службы (например, «LDAP», «SMB2», «NETLOGON», «Kerberos KDC»)
|
status
|
Сообщение NT STATUS. Для успешной аутентификации это будет «NT_STATUS_OK». Неудачная аутентификация может иметь значение «NT_STATUS_OK», если аутентификация не удалась после регистрации этого сообщения, но обычно имеет код ошибки.
Некоторые типы сообщений при неудачной аутентификации:
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 3} |
workstation
|
Заявленное имя клиентской рабочей станции
|
{"timestamp": "2024-05-29T14:39:06.426725+0200", "type": "Authentication", "Authentication": {"version": {"major": 1, "minor": 3}, "eventId": 4624, "logonId": "11424f6685e647f9", "logonType": 3, "status": "NT_STATUS_OK", "localAddress": null, "remoteAddress": "ipv4:192.168.0.135:55134", "serviceDescription": "Kerberos KDC", "authDescription": "ENC-TS Pre-authentication", "clientDomain": null, "clientAccount": "ivanov\\@TEST@TEST.ALT", "workstation": null, "becameAccount": "ivanov", "becameDomain": "TEST", "becameSid": "S-1-5-21-578923263-1107570656-1287136478-1103", "mappedAccount": "ivanov", "mappedDomain": "TEST", "netlogonComputer": null, "netlogonTrustAccount": null, "netlogonNegotiateFlags": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "aes256-cts-hmac-sha1-96", "clientPolicyAccessCheck": null, "serverPolicyAccessCheck": null, "duration": 5421}}
Таблица 6.18. Успешные события авторизации
Атрибут
|
Значение
|
---|---|
account
|
Имя авторизуемой учетной записи
|
accountFlags
|
Битовое поле атрибутов учетной записи
|
authType
|
Строка, описывающая тип авторизации (например, «krb5», «NTLMSSP», «simple bind»)
|
domain
|
Имя домена
|
localAddress
|
Адрес сервера и используемый порт
|
logonServer
|
Сервер, на котором выполнена аутентификация
|
remoteAddress
|
Видимый адрес клиента
|
serviceDescription
|
Тип службы (например, «LDAP», «SMB2», «DCE/RPC»)
|
sessionId
|
Уникальный идентификатор сессии (GUID)
|
sid
|
Идентификатор безопасности (SID) авторизуемой учетной записи
|
transportProtection
|
Тип защиты, используемой в канале (например, «SMB», «TLS», «SEAL», «NONE»)
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 2} |
{"timestamp": "2024-05-29T15:32:39.282334+0200", "type": "Authorization", "Authorization": {"version": {"major": 1, "minor": 2}, "localAddress": "ipv4:127.0.0.1:389", "remoteAddress": "ipv4:127.0.0.1:43350", "serviceDescription": "LDAP", "authType": "simple bind", "domain": "NT AUTHORITY", "account": "ANONYMOUS LOGON", "sid": "S-1-5-7", "sessionId": "5accdd86-4c6e-4bd2-8ab1-7e95f641ecf2", "logonServer": "DC1", "transportProtection": "NONE", "accountFlags": "0x00000010", "clientPolicyAccessCheck": null, "serverPolicyAccessCheck": null}}
Таблица 6.19. События dsdbChange
Атрибут
|
Значение
|
---|---|
attributes
|
Список изменяемых атрибутов
|
dn
|
Уникальное составное имя (DN) изменяемого объекта
|
operation
|
Операция LDAP, соответствующая выполняемому действию по изменению данных:
|
performedAsSystem
|
Признак системного или пользовательского действия:
|
remoteAddress
|
Удаленный адрес пользователя, инициировавшего операцию
|
sessionId
|
Уникальный идентификатор (GUID) сессии аутентификации
|
status
|
Строка, указывающая на успешное завершение действия или невозможность его выполнения по той или иной причине; выводимая информация соответствует кодам ответа LDAP, которые фиксируются в атрибуте
statusCode .
Примеры значений:
|
Числовой код, соответствующий статусу в атрибуте
status
|
В общем случае в качестве значения атрибута приводится код ответа LDAP в соответствии с RFC 4511
|
transactionId
|
Уникальный идентификатор (GUID) транзакции, в рамках которой выполняется операция (если операция является частью транзакции)
|
userSid
|
Идентификатор безопасности (SID) пользователя, инициировавшего операцию
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 2} |
attributes
может рассматриваться в качестве аналога описания изменения в формате LDIF.
"dsdbChange": { "operation": "Modify", "dn": "@SAMBA_DSDB", "attributes": { "backupDate": {"actions": [ {"action": "add", "values": [ {"value": "2024-05-29T15:32:39.282334+0200"} ] } ] }}}описывает изменение, выполненное этим LDIF:
dn: @SAMBA_DSDB changetype: modify add: backupDate backupDate: 2024-05-29T15:32:39.282334+0200
redacted: true
.
truncated: true
, например:
"values": [ {truncated: true, "value": "It was the best of times, it was the worst of times, it was the age…" } ]
{"timestamp": "2024-05-29T09:52:14.813697+0200", "type": "dsdbChange", "dsdbChange": {"version": {"major": 1, "minor": 0}, "statusCode": 0, "status": "Success", "operation": "Modify", "remoteAddress": "ipv6:fd47:d11e:43c1:0:a00:27ff:fe9d:4de0:38500", "performedAsSystem": false, "userSid": "S-1-5-21-578923263-1107570656-1287136478-500", "dn": "CN=Марков Кирилл,CN=Users,DC=test,DC=alt", "transactionId": "ce759566-8bf9-46ce-95a1-0d632232a220", "sessionId": "48c760f6-6cdc-4fba-b16d-1689f2cfad33", "attributes": {"unicodePwd": {"actions": [{"action": "replace", "redacted": true}]}}}}
transactionId
.
Таблица 6.20. Атрибуты событий, связанных с транзакциями
Атрибут
|
Значение
|
---|---|
action
|
Текущий этап транзакции:
|
duration
|
Продолжительность транзакции в микросекундах (до момента записи этого поля)
|
transactionId
|
Уникальный идентификатор (GUID) транзакции
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 0} |
{"timestamp": "2024-05-29T20:41:36.895027+0200", "type": "dsdbTransaction", "dsdbTransaction": {"version": {"major": 1, "minor": 0}, "action": "commit", "transactionId": "a89149be-5c19-42c2-bf08-94ddc5b0eb78", "duration": 8819}} {"timestamp": "2024-05-29T20:41:37.691707+0200", "type": "dsdbTransaction", "dsdbTransaction": {"version": {"major": 1, "minor": 0}, "action": "commit", "transactionId": "92a8db3a-94d4-4ac5-b929-b1e4344b12e3", "duration": 5697}}
Таблица 6.21. Атрибуты событий, связанных с изменением пароля
Атрибут
|
Значение
|
---|---|
action
|
Тип операции:
|
dn
|
Уникальное составное имя (DN) пользователя, пароль которого изменяется или сбрасывается
|
eventId
|
Идентификатор события Windows:
|
remoteAddress
|
Удаленный адрес пользователя, выполняющего операцию
|
sessionId
|
Идентификатор сессии DSDB
|
status
|
Текст ошибки
|
statusCode
|
Код ошибки
|
transactionId
|
Уникальный идентификатор (GUID) транзакции, в рамках которой выполняется операция (если операция является частью транзакции)
|
userSid
|
Идентификатор безопасности (SID) пользователя, инициировавшего операцию
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 1} |
{"timestamp": "2024-05-29T15:28:18.876663+0200", "type": "passwordChange", "passwordChange": {"version": {"major": 1, "minor": 1}, "eventId": 4724, "statusCode": 0, "status": "Success", "remoteAddress": "ipv6:fd47:d11e:43c1:0:a00:27ff:fe9d:4de0:35534", "userSid": "S-1-5-21-578923263-1107570656-1287136478-500", "dn": "CN=Орлов Игорь,CN=Users,DC=test,DC=alt", "action": "Reset", "transactionId": "d7456cd1-6f32-4575-b530-dc22a34bdc6a", "sessionId": "ce6866f6-43ea-4665-a896-0d10bd3194e1"}}
Таблица 6.22. Атрибуты событий, связанных с изменением группы
Атрибут
|
Значение
|
---|---|
action
|
Тип операции:
|
eventId
|
Идентификатор события Windows:
|
group
|
Уникальное составное имя (DN) группы
|
remoteAddress
|
Удаленный адрес пользователя, выполняющего операцию
|
sessionId
|
Идентификатор сессии DSDB
|
status
|
Текст ошибки
|
Числовой код, соответствующий статусу в атрибуте
status
|
В общем случае в качестве значения атрибута приводится код ответа LDAP в соответствии с RFC 4511
|
transactionId
|
Уникальный идентификатор (GUID) транзакции, в рамках которой выполняется операция (если операция является частью транзакции)
|
user
|
Уникальное составное имя (DN) пользователя, членство в группе которого изменяется в рамках операции
|
userSid
|
Идентификатор безопасности (SID) пользователя, инициировавшего операцию
|
version
|
См. описание в таблице Общие атрибуты
Текущая версия:
{"major": 1, "minor": 1} |
{"timestamp": "2024-05-29T15:20:19.634972+0200", "type": "groupChange", "groupChange": {"version": {"major": 1, "minor": 1}, "eventId": 4728, "statusCode": 0, "status": "Success", "action": "Added", "remoteAddress": "ipv6:fd47:d11e:43c1:0:a00:27ff:fe9d:4de0:59778", "userSid": "S-1-5-21-578923263-1107570656-1287136478-500", "group": "CN=testgroup,CN=Users,DC=test,DC=alt", "transactionId": "28372270-093c-4bca-af45-ae3e93b71eda", "sessionId": "9518687d-8ad1-4c2c-810c-8cc18c2943f7", "user": "CN=Марков Кирилл,CN=Users,DC=test,DC=alt"}}