회사 AD (DC01-DC02 미러링) 사용 중인데,
일반 사용자가 AD인증을 이용하여 PC에 접근하였는지 로그를 보고 싶습니다.
원래 알던데로라면 AD서버 Security로그에 남아야할텐데,,
AD서버 원격 접속 로그만 남아있네요,,
어떤 걸 어떻게 진행하고 봐야 할까요?
니즈 : AD에 가입되어 있는 일반 유저가 A,B,C 등 서로 다른 PC에서 본인의 AD 계정으로
로그인시도 > 로그인 성공/실패에 대한 로그값 확인
AD 인증로그
2개의 답변이 있습니다.
이벤트 로그에서 확인해 보면 되지 않을까 싶네요.
다음의 event ID들을 이용해서 이벤트 로그들을 확인해 보면 되지 않을까요.
새 자격 증명 유효성 검사 성공 - 1202
새 자격 증명 유효성 검사 오류 - 1203
애플리케이션 토큰 성공 - 1200
애플리케이션 토큰 실패 - 1201
암호 변경 요청 성공 - 1204
암호 변경 요청 오류 - 1205
로그 아웃 성공 - 1206
로그 아웃 실패 - 1207
Logon – 4624
Logoff – 4647
Startup – 6005
RDP Session Reconnect – 4778
RDP Session Disconnect – 4779
Locked – 4800
Unlocked – 4801
그룹정책에서 설정값을 변경하시거나
아래 URL참고 해보세요
https://m.blog.naver.com/PostView.nhn?blogId=cholwan_atom&logNo=220213878572&proxyReferer=https:%2F%2Fwww.google.com%2F
http://royentalhybrid.blogspot.com/2016/04/ad-fs-ad-fs.html