Product SiteDocumentation Site

51.5.2. Атрибуты событий аутентификации (Authentication)

В таблице Атрибуты событий аутентификации приведен набор атрибутов, который используется для регистрации событий аутентификации.

Таблица 51.3. Атрибуты событий аутентификации

Атрибут
Значение
authDescription
Тип аутентификации:
  • «simple bind/TLS», «simple bind» — простая привязка LDAP с каналом TLS или без него;
  • «guest» — анонимный запрос SMB1;
  • «bare-NTLM» — запрос SMB, использующий протокол NT1;
  • «plaintext» — запрос SMB, в виде обычного текста;
  • «interactive» — аналог физического входа на конкретной рабочей станции;
  • «network» — проверка подлинности запроса/ответа по сети;
  • «Unknown Auth Description», «Unknown Pre-authentication» — события KDC;
  • «ServerAuthenticate» — запрос/ответ компьютера при входе в систему с использованием NETLOGON;
  • «LDAP Modify» — смена пароля (не событие аутентификации, но регистрируется здесь, чтобы администратор не пропустил его)
becameAccount
Имя учетной записи, под которой выполнен вход (может не совпадать со значением, предоставленным клиентом)
becameDomain
Имя домена, в который произведён вход
becameSid
Идентификатор безопасности (SID) аутентифицированной учетной записи
clientAccount
Имя учётной записи, предоставленное клиентом
clientDomain
Имя домена, предоставленное клиентом
duration
Время (в микросекундах), в течение которого выполнялась аутентификация
eventId
Идентификатор события Windows, указывающий в общих чертах, что произошло:
  • 4624 соответствует успешной попытке аутентификации;
  • 4625 соответствует неуспешной попытке аутентификации;
localAddress
Адрес сервера и используемый порт
logonId
Случайный 64-битный идентификатор, помогающий отслеживать события входа в систему на разных этапах
logonType
Тип входа в Windows. Для Samba один из:
  • 2 — интерактивный, то есть вход выполняется на текущем компьютере;
  • 3 — сетевой, то есть вход выполняется по сети;
  • 8 — сетевой с использованием нехешированных паролей, то есть вход выполняется по сети, при этом пароль передается в пакет подтверждения подлинности в нехешированной форме (NetworkCleartext)
mappedAccount
Имя учетной записи клиента, преобразованное в имя учетной записи Альт Домен
mappedDomain
Имя домена клиента, преобразованное в доменное имя Альт Домен
netlogonComputer
Имя компьютера, заявленное при аутентификации через NETLOGON RPC
netlogonNegotiateFlags
Флаги NETLOGON, согласуемые в процессе взаимодействия клиента и сервера
netlogonSecureChannelType
Тип безопасного канала, используемого для входа по протоколу NETLOGON
netlogonTrustAccount
Учетная запись, используемая для аутентификации по протоколу NETLOGON
netlogonTrustAccountSid
Идентификатор безопасности (SID) учётной записи, используемый для аутентификации по протоколу NETLOGON
passwordType
Алгоритм/протокол пароля (например, «HMAC-SHA256», «NTLMv2», «arcfour-hmac-md5»)
remoteAddress
Заявленный адрес (и порт) удаленного клиента
serviceDescription
Тип службы (например, «LDAP», «SMB2», «NETLOGON», «Kerberos KDC»)
status
Сообщение NT STATUS. Для успешной аутентификации это будет «NT_STATUS_OK». Неудачная аутентификация может иметь значение «NT_STATUS_OK», если аутентификация не удалась после регистрации этого сообщения, но обычно имеет код ошибки.
Некоторые типы сообщений при неудачной аутентификации:
  • NT_STATUS_ACCESS_DENIED — доступ запрещен по неустановленным причинам, (наиболее вероятная причинаvнеправильные учетные данные);
  • NT_STATUS_WRONG_PASSWORD — неверный пароль;
  • NT_STATUS_NO_SUCH_USER — пользователь не существует;
  • NT_STATUS_NO_SUCH_DOMAIN — домен не существует;
  • NT_STATUS_ACCOUNT_RESTRICTION — учетная запись защищена или иным образом ограничена;
  • NT_STATUS_DOWNGRADE_DETECTED — клиент, возможно, предпринимает какие-либо действия для использования некорректных способов аутентификации;
  • NT_STATUS_INVALID_SERVER_STATE — сервер, возможно, используется не по назначению;
  • NT_STATUS_INVALID_INFO_CLASS — сервер, возможно, используется не по назначению;
  • NT_STATUS_INVALID_PARAMETER — клиент получил некорректные данные;
  • NT_STATUS_NETWORK_CREDENTIAL_CONFLICT — в процессе входа произошли изменения (возможно, имеет место гонка в рамках изменения учетных данных, либо при согласовании данных шифрования возникла ошибка);
  • NT_STATUS_NOT_IMPLEMENTED — тип аутентификации не реализован в Samba;
  • NT_STATUS_NOT_SUPPORTED — тип аутентификации, либо способ его использования со стороны клиента не поддерживается Samba;
  • NT_STATUS_INVALID_SYSTEM_SERVICE — выбранная служба аутентификации недоступна;
  • NT_STATUS_INTERNAL_ERROR — сервер не может завершить выполнение аутентификации по причине внутренней ошибки;
  • NT_STATUS_NO_MEMORY — сервер не может завершить аутентификацию по причине нехватки памяти
version
См. описание в таблице Общие атрибуты.
Текущая версия: 
{"major": 1, "minor": 3}
workstation
Заявленное имя клиентской рабочей станции
Пример записи об успешной попытке аутентификации: 
{"timestamp": "2024-05-29T14:39:06.426725+0200", "type": "Authentication",
"Authentication": {"version": {"major": 1, "minor": 3}, "eventId": 4624, "logonId": "11424f6685e647f9",
"logonType": 3, "status": "NT_STATUS_OK", "localAddress": null, "remoteAddress": "ipv4:192.168.0.135:55134",
"serviceDescription": "Kerberos KDC", "authDescription": "ENC-TS Pre-authentication",
"clientDomain": null, "clientAccount": "ivanov\\@TEST@TEST.ALT", "workstation": null,
"becameAccount": "ivanov", "becameDomain": "TEST", "becameSid": "S-1-5-21-578923263-1107570656-1287136478-1103",
"mappedAccount": "ivanov", "mappedDomain": "TEST", "netlogonComputer": null, "netlogonTrustAccount": null,
"netlogonNegotiateFlags": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null,
"passwordType": "aes256-cts-hmac-sha1-96", "clientPolicyAccessCheck": null, "serverPolicyAccessCheck": null, "duration": 5421}}