Habilitar logging de netlogon sólo para eventos de Logon

Si tienes habilitada la auditoría de eventos de logon en tus controladores de dominio probablemente te hayas dado cuenta de que solamente quedan registrados los eventos de Kerberos.

Si tienes un proxy en el que los usuarios se autentican con NTLM usando una cuenta de dominio verás que estos eventos no quedan registrados en el visor de eventos del controlador de dominio. Si embargo, sí quedarían en el propio proxy si este tiene habilitada la auditoría de eventos de logon.

Para poder ver estos inicios de sesión tienes que tener habilitado el debug logging en los controladores de dominio. Habilitar esto es muy fácil y lo indica claramente en este KB de Microsoft. El problema es que si sigues los pasos de este KB vas a ver en el log muchos más eventos de los que seguramente te interesan.

Si solamente quieres que se registren los eventos de Logon tienes que ejecutar el siguiente comando en todos tus controladores de dominio:

nltest /DBFlag:0x20000004

Después de que ejecutes ese comando vas a ver los registros de inicio de sesión en el archivo C:\Windows\Debug\netlogon.log. Este archivo lo puedes enviar a tu sistema de centralización de logs para un posterior analísis.

Para desactivar el registro de estos eventos basta con ejecutar el siguiente comando:

nltest /DBFlag:0x0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.