Configuración de NXLog y Logstash para archivo Netlogon.log

En la entrada anterior explicaba cómo habilitar el debug log del servicio Netlogon para poder ver los enventos de logon usando NTLM en los controladores de dominio. Para analizar estos logs de forma más fácil podemos enviarlos a ELK usando NXLog.

NXLog es un forwarder de logs multiplataforma, no necesita Java y más liviano que el Logstash.

Los archivos de configuración del NXLog y Logstash para enviar los eventos de netlogon.log a ELK los puedes decargar desde aquí.

La instalación de ELK es bastante sencilla, yo usé la guía de Digital Ocean.

Habilitar logging de netlogon sólo para eventos de Logon

Si tienes habilitada la auditoría de eventos de logon en tus controladores de dominio probablemente te hayas dado cuenta de que solamente quedan registrados los eventos de Kerberos.

Si tienes un proxy en el que los usuarios se autentican con NTLM usando una cuenta de dominio verás que estos eventos no quedan registrados en el visor de eventos del controlador de dominio. Si embargo, sí quedarían en el propio proxy si este tiene habilitada la auditoría de eventos de logon.

Para poder ver estos inicios de sesión tienes que tener habilitado el debug logging en los controladores de dominio. Habilitar esto es muy fácil y lo indica claramente en este KB de Microsoft. El problema es que si sigues los pasos de este KB vas a ver en el log muchos más eventos de los que seguramente te interesan.

Si solamente quieres que se registren los eventos de Logon tienes que ejecutar el siguiente comando en todos tus controladores de dominio:

nltest /DBFlag:0x20000004

Después de que ejecutes ese comando vas a ver los registros de inicio de sesión en el archivo C:\Windows\Debug\netlogon.log. Este archivo lo puedes enviar a tu sistema de centralización de logs para un posterior analísis.

Para desactivar el registro de estos eventos basta con ejecutar el siguiente comando:

nltest /DBFlag:0x0