เผยแพร่ครั้งแรกบน TechNet เมื่อวันที่ 2 ส.ค. 2558
Brandon Wilson พูดคุยกับคุณอีกครั้งเกี่ยวกับ Netlogon parser รุ่นต่อไปสำหรับ Message Analyzer ซึ่งพร้อมใช้งานกับการติดตั้ง Message Analyzer 1.3.1 บางส่วนอาจฟังดูคุ้นเคยหากคุณอ่านบล็อกของฉันในโปรแกรมแยกวิเคราะห์ v1.1.4 ... คุณจะสังเกตเห็นว่ารูปแบบของบล็อกนี้ค่อนข้างเหมือนกัน แต่มีบางส่วนเพิ่มเติมเกี่ยวกับวิธีการกรองอย่างถูกต้องเมื่อใช้โปรแกรมแยกวิเคราะห์ (เพื่อสิ่งที่ดีกว่า ฉันสัญญา) ก่อนที่ฉันจะดำเนินการต่อ หากคุณไม่สามารถย้ายไปที่ Message Analyzer 1.3.1 ได้ด้วยเหตุผลบางอย่าง ฉันควรบอกด้วยว่าลิงก์ที่ด้านล่างของหน้านี้สามารถใช้ดาวน์โหลด Netlogon parser v3.5 เช่นเดียวกับ " มุมมอง Netlogon” สำหรับตารางการวิเคราะห์ เพื่อให้คุณสามารถใช้การเปลี่ยนแปลงใน Message Analyzer 1.1, 1.2 หรือ 1.3
Netlogon parser เวอร์ชันถัดไป (v3.5) ได้รับการพัฒนาโดยมีการปรับปรุงที่สำคัญสำหรับทั้งประสิทธิภาพและการวินิจฉัยปัญหา/การแก้ไขปัญหา เมื่อฉันพูดถึงการปรับปรุงที่สำคัญ ฉันหมายถึงอย่างนั้น! ฉันต้องการใช้โอกาสนี้เพื่อแจ้งไปยังกลุ่มผลิตภัณฑ์ Message Analyzer สำหรับความช่วยเหลือทั้งหมดของพวกเขาตั้งแต่การพัฒนา การตรวจสอบสุขภาพจิต ไปจนถึงบทวิจารณ์บล็อกด้วย! เช่นเดียวกับการเปิดตัว Netlogon parser v1.1.4 เวอร์ชันนี้เข้ากันได้กับ Message Analyzer 1.3.1 และเข้ากันได้กับ Message Analyzer 1.1, 1.2 และ 1.3 แบบเก่า (โดยมีข้อแม้บางประการที่อธิบายไว้ด้านล่าง) เนื่องจากแพลตฟอร์มทดสอบสำหรับตัวแยกวิเคราะห์เวอร์ชันนี้คือ Message Analyzer 1.3.1 เราจึงใช้สิ่งนั้นเป็นตัวอย่างในบล็อกนี้
อินเทอร์เฟซสำหรับ Message Analyzer 1.3 และ 1.3.1 มีการเปลี่ยนแปลงเล็กน้อยตั้งแต่นั้นมา และฉันจะพยายามแตะต้องพื้นที่ที่เกี่ยวข้องกับตัวแยกวิเคราะห์ Netlogon ที่นี่ แต่ภายนอก GUI จะเปลี่ยนวิธีการที่เกี่ยวข้องสำหรับการแก้ไขปัญหาและการแยกวิเคราะห์โดยใช้ตัวแยกวิเคราะห์ Netlogon จะเหมือนกับที่เราได้อธิบายไปแล้วในบล็อกโพสต์ก่อนหน้า อย่างไรก็ตาม การอัปเดตบางอย่างรวมถึงความสามารถในการกรองคำเตือนบัญชีและการระบุปัญหาได้อย่างง่ายดาย หากคุณยังไม่ได้ตรวจสอบบทความในบล็อกก่อนหน้านี้ สิ่งเหล่านี้เป็นสิ่งจำเป็นสำหรับการอ่านเพื่อใช้โปรแกรมแยกวิเคราะห์ Netlogon อย่างเหมาะสม และคุณควรตรวจสอบบล็อกแนะนำ,การแก้ไขปัญหาเบื้องต้นสำหรับ Netlogon Parser สำหรับ Message Analyzerบล็อก และคุณลักษณะใหม่ใน Netlogon Parser (v1.1.4) สำหรับตัววิเคราะห์ข้อความเป็นข้อกำหนดเบื้องต้น ซึ่งครอบคลุมคุณสมบัติหลักบางประการและเทคนิคการแก้ไขปัญหาที่มีอยู่ใน v1.0.1 (รุ่นเผยแพร่ครั้งแรก) และ v1.1.4 ของ Netlogon parser
นอกจากนี้ยังเป็นความคิดที่ดีที่จะจัดการกับรหัสข้อผิดพลาด Netlogon จากการอ้างอิงด่วน: การแก้ไขปัญหารหัสข้อผิดพลาด Netlogonบล็อกและการแก้ไขปัญหา MaxConcurrentApi ในข้อมูลอ้างอิงด่วน: การแก้ไขปัญหา การวินิจฉัย และการปรับแต่งปัญหา MaxConcurrentApiบล็อก ซึ่งทั้งสองอย่างนี้สามารถช่วยแนะนำคุณเกี่ยวกับการแก้ไขปัญหาที่เหมาะสมและการวิเคราะห์สาเหตุที่แท้จริงสำหรับปัญหาที่เกี่ยวข้องกับ Netlogon
อย่างที่ฉันพูดในบล็อกล่าสุดของฉันบน v1.1.4 ฉันพูดถึงเวอร์ชันต่างๆ มากมายเมื่อพูดถึง Netlogon parser แต่ในความเป็นจริง ณ วันที่ของโพสต์นี้ พวกเขาทั้งหมดมีชื่อว่า Netlogon.config และวิธีเดียวสำหรับ คุณจะต้องเปิดไฟล์และดูที่ตารางเวอร์ชันด้านบน เชื่อฉันเถอะ ฉันอัปเดตตารางนั้นให้ทันสมัยอยู่เสมอ (ถ้าฉันไม่ทำ ฉันจะลืมสิ่งที่กำลังทำอยู่….อีกแล้ว)! เวอร์ชันก่อนหน้า (1.0.1 และ 1.1.4) มีคุณสมบัติมากมายที่ช่วยให้คุณเข้าใจและวินิจฉัยปัญหา Netlogon (โดย v1.1.4 มีข้อได้เปรียบที่สำคัญ) ฉันได้พูดไปแล้ว แต่เพราะมันทำให้ฉันตื่นเต้นด้วยเหตุผลแปลกๆ บางอย่าง ฉันจึงอดย้ำไม่ได้ว่าการอัปเดตสำคัญเพียงใดในเวอร์ชันนี้
เช่นเดียวกับโปรแกรมแยกวิเคราะห์ทั้งหมดของเรา สิ่งนี้มีให้ตามที่เป็นอยู่
ในคำแนะนำนี้ เราจะครอบคลุมสิ่งต่อไปนี้:
การเปลี่ยนแปลง GUI ใน Message Analyzer 1.3 และ 1.3.1
การอัปเดตและคุณลักษณะการตรวจหาใหม่ใน Netlogon Parser v3.5
วิธีอัปเดตตัวแยกวิเคราะห์ Netlogon ด้วยตนเองเป็น v3.5
วิธีเพิ่มมุมมองกริด "Netlogon Analysis" ใหม่
การเปลี่ยนแปลง GUI ใน Message Analyzer 1.3 และ 1.3.1
UI หลักใน Message Analyzer 1.3 และ 1.3.1 จะเหมือนกับ Message Analyzer 1.2 ฟังก์ชั่น "ซ่อนการทำงาน" ถูกซ่อนไว้อีกเล็กน้อยและถูกเปลี่ยนชื่อเป็น "แสดงข้อความเท่านั้น" แต่ด้วย Netlogon parser v3.5 ทำให้ไม่จำเป็นต้องใช้ นั่นเป็นเพราะในการวนซ้ำนี้ มีการใช้การดำเนินการน้อยมาก จากที่กล่าวมา นี่คือมุมมองพื้นฐานของ GUI ก่อนที่คุณจะเปิดบันทึกใดๆ:
พบตัวเลือก "แสดงข้อความเท่านั้น" ในเมนูเครื่องมือภายใต้ Windows à Viewpoint เมื่อคุณเลือกแล้ว แท็บจุดชมวิวจะปรากฏที่ด้านล่างขวา ดังที่คุณเห็นในภาพหน้าจอด้านล่าง สิ่งที่คุณต้องทำคือคลิกเมนูแบบเลื่อนลงของการดำเนินการ และเลือก “แสดงข้อความเท่านั้น”
การอัปเดตและคุณลักษณะการตรวจหาใหม่ใน Netlogon Parser v3.5
อย่างที่ฉันได้กล่าวไปแล้ว มีคุณสมบัติและการอัปเดตใหม่มากมายที่เพิ่มเข้ามาใน v3.5 ของตัวแยกวิเคราะห์ Netlogon อย่างไรก็ตาม ฉันต้องลบฟังก์ชันการทำงานบางอย่างออกอย่างน่าเสียดาย เราจะเพิ่มคุณสมบัติเหล่านี้ในภายหลังโดยใช้กลไกอื่น ดังนั้นคุณจะได้รับตัวเลือกนั้นกลับมาอีกในอนาคต
ก่อนที่ฉันจะแสดงให้คุณเห็นถึงความกล้าหาญของคุณสมบัติใหม่ ฉันต้องการให้คุณทราบเกี่ยวกับการอัปเดต:
1. อย่างแรก สิ่งที่เราต้องเอาออก...
ก. ด้วยความลังเลและความยุ่งยากอย่างมากในการพยายามแก้ไขปัญหา ฉันจึงลบคุณลักษณะสำหรับความพยายามในการตรวจสอบสิทธิ์ที่จะรวมเข้าด้วยกันโดยการดำเนินการ มีข้อผิดพลาด 22 ในฟังก์ชันนั้น แม้ว่าจะทำงานได้อย่างไม่มีที่ติ แต่ก็มีรายการแบ็กเอนด์บางอย่างที่ต้องแก้ไขก่อนที่จะสร้างใหม่เพื่อให้บรรลุผลตามที่คาดไว้ (ไม่เกี่ยวข้องกับตัววิเคราะห์ข้อความ)
2. ไม่จำกัดขนาดบันทึก 100MB อีกต่อไป!
3. ปรับปรุงประสิทธิภาพอย่างเห็นได้ชัด!
4. การเปลี่ยนแปลงเล็กน้อยในถ้อยคำสำหรับการตรวจจับ NO_CLIENT_SITE
5. เพิ่มการระบุรหัสข้อผิดพลาดหลายรายการ (และให้ความหมายของรหัสเหล่านี้ในเอาต์พุตสรุป)
6. ประเมินบรรทัดรูปแบบที่ไม่สอดคล้องกัน/ไม่คาดคิด เพื่อยังคงให้เอาต์พุตที่ถูกต้องสำหรับข้อผิดพลาดและคำเตือนบัญชีที่ตรวจพบ
7. ปรับถ้อยคำสำหรับข้อความสรุปหลายรายการ
8. ให้วิธีที่ง่ายกว่าในการกรองเพื่อระบุปัญหาและบัญชี "ความคลาดเคลื่อน"
9. ปรับข้อความสรุปสำหรับการเริ่มต้นบริการ Netlogon จาก “SVC STARTUP” เป็น “SERVICE STARTUP”
10. โครงร่างกริดการวิเคราะห์ใหม่พร้อมใช้งานในดร็อปดาวน์ “โครงร่าง” สำหรับการวิเคราะห์ Netlogon (ต้องมีขั้นตอนด้วยตนเองซึ่งระบุไว้ด้านล่างในบล็อกโพสต์นี้)
เรามาดูรายละเอียดเพิ่มเติมกัน:
1. ไม่จำกัดขนาดบันทึก 100MB อีกต่อไป!
ก. ตัวแยกวิเคราะห์ Netlogon เวอร์ชันก่อนหน้ามีปัญหากับขนาดไฟล์ที่เกิน 100MB แม้ว่าคุณจะเรียกใช้โปรแกรมแยกวิเคราะห์กับไฟล์ขนาดใหญ่ได้ แต่การทำเช่นนั้นหมายความว่าถึงเวลาที่จะต้องวางตัววิเคราะห์ข้อความในเบื้องหลังและแก้ไขสิ่งอื่น นั่นไม่ใช่กรณีอีกต่อไป!
2. ปรับปรุงประสิทธิภาพอย่างเห็นได้ชัด!
ก. เมื่อฉันพูดว่ามีนัยสำคัญ ฉันหมายถึงมีนัยสำคัญ เพื่อให้คุณมีความคิด ในเครื่องทดสอบของฉัน สิ่งที่เคยใช้เวลา 24 นาที และการเปลี่ยนแปลงบางอย่าง (ในเครื่องทดสอบของฉัน) ในการแยกวิเคราะห์ใช้เวลาเพียงนาทีเดียว!
3. การเปลี่ยนแปลงเล็กน้อยในถ้อยคำสำหรับการตรวจจับ NO_CLIENT_SITE
ก. นี่คือสิ่งที่ป้อนข้อมูลของคุณเข้ามาเล่น! มีการร้องขอให้เพิ่มถ้อยคำเพื่อระบุว่าบรรทัดที่เกี่ยวข้องกับไม่มีการระบุไซต์ไคลเอนต์ เนื่องจากการตรวจจับไม่พบไซต์ไคลเอ็นต์ยังคงดำเนินการอยู่ จึงมีการเพิ่มข้อความในสรุปของการตรวจจับแต่ละครั้งเพื่อระบุว่า "ไม่พบไซต์ไคลเอ็นต์" เพื่อลดความซับซ้อนในการระบุบรรทัดเหล่านี้เมื่อแสดงเฉพาะข้อความและไม่ใช้การดำเนินการ
4. เพิ่มการระบุรหัสข้อผิดพลาดหลายรายการ (และให้ความหมายของรหัสเหล่านี้ในเอาต์พุตสรุป)
ก. รหัสข้อผิดพลาดส่วนใหญ่ที่เพิ่มเกี่ยวข้องกับการระบุปัญหาเกี่ยวกับบัญชี (รวมถึงการช่วยคุณตามล่าการล็อกบัญชี) และความพยายามที่อาจเกิดขึ้นในการประนีประนอมด้านความปลอดภัย (เช่น การใช้บัญชีที่ไม่ถูกต้อง เป็นต้น) อย่างไรก็ตาม ยังมีรหัสข้อผิดพลาดใหม่สองสามรหัสที่เพิ่มเข้ามาเพื่อจุดประสงค์ในการแก้ไขปัญหา ต่อไปนี้คือรายการข้อผิดพลาดที่เพิ่มเข้ามาสำหรับเวอร์ชันนี้ (รายการนี้ยังรวมการตรวจจับที่เกี่ยวข้องกับโค้ดที่ไม่ใช่ข้อผิดพลาดบางส่วนที่เพิ่มเข้ามาด้วย):
สถานะ/รหัสส่งคืน | ความหมายทางเทคนิค |
0xC000006D | STATUS_LOGON_FAILURE |
0xC002001B | RPC_NT_CALL_FAILED |
0xC0000072 | STATUS_ACCOUNT_DISABLED |
0xC0020030 | RPC_NT_UNKNOWN_AUTHN_SERVICE |
0xC000006F | STATUS_INVALID_LOGON_HOURS |
0xC0000193 | STATUS_ACCOUNT_EXPIRED |
0xC0000001 | สถานะ_ไม่สำเร็จ |
0xC000006A | STATUS_WRONG_PASSWORD |
0xC0000064 | STATUS_NO_SUCH_USER |
0xC0000071 | STATUS_PASSWORD_EXPIRED |
0xC0000199 | STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT |
การตรวจจับการตั้งค่า NeverPing | ซึ่งตรวจหาว่าค่ารีจิสทรี NeverPing ถูกตั้งค่าในคีย์ Netlogon\Parameters หรือไม่ เพื่อทำการกำหนดนี้ ต้องเริ่มบริการใหม่ในขณะที่เปิดใช้งานการบันทึก Netlogon |
การตรวจจับ "ข้อผิดพลาด" | การแยกวิเคราะห์ทั่วไปสำหรับคำว่า "ข้อผิดพลาด" หมายเหตุ: อาจเกิดผลบวกลวงเนื่องจากลักษณะทั่วไปและไม่คำนึงถึงตัวพิมพ์เล็กและใหญ่ ตัวอย่างเช่น หากวลี “ERROR_SUCCESS” อยู่ในบรรทัด กลไกการแยกวิเคราะห์นี้จะถูกตั้งค่าสถานะ การตรวจจับทั้งหมดที่ถูกตั้งค่าสถานะโดยการดำเนินการแยกวิเคราะห์นี้จะมีคำนำหน้าเป็น “DIAGNOSIS:” ในข้อความสรุป |
การตรวจจับ "ล้มเหลว" | การแยกวิเคราะห์ทั่วไปสำหรับคำว่า "ล้มเหลว" หมายเหตุ: อาจเกิดผลบวกลวงเนื่องจากลักษณะทั่วไปและไม่คำนึงถึงตัวพิมพ์เล็กและใหญ่ ตัวอย่างจริงภายในบันทึก Netlogon จะเป็นระหว่างการเริ่มต้นบริการเมื่ออ่านค่า DnsFailedDeregisterTimeout แม้ว่านี่จะไม่ใช่ตัวบ่งชี้ปัญหา แต่จะลงทะเบียนด้วยคำนำหน้า "DIAGNOSIS:" ในข้อความสรุปเนื่องจากตรวจพบคำว่า "ล้มเหลว" |
5. ประเมินบรรทัดรูปแบบที่ไม่สอดคล้องกัน/ไม่คาดคิด เพื่อยังคงให้เอาต์พุตที่ถูกต้องสำหรับข้อผิดพลาดและคำเตือนบัญชีที่ตรวจพบ
ก. ใน parser เวอร์ชันก่อนหน้า รูปแบบที่ไม่คาดคิด/บรรทัดบันทึกที่ไม่สอดคล้องกันจะถูกนำเข้าสู่การจัดกลุ่มการปฏิบัติงานด้วยกัน ด้วยเวอร์ชันนี้ ตอนนี้เราได้แยกรายละเอียดบางอย่างออกและระบุข้อผิดพลาดภายในบรรทัดเหล่านั้น เพื่อให้คุณไม่พลาดทุกจังหวะ!
6. ปรับถ้อยคำสำหรับข้อความสรุปหลายรายการ
7. ให้วิธีที่ง่ายกว่าในการกรองเพื่อระบุปัญหาและบัญชี "ความคลาดเคลื่อน"
ก. ในขณะที่วิธีการกรองแบบเก่ายังคงใช้งานได้ ตอนนี้คุณสามารถกรอง "การวินิจฉัย" "คำเตือน" "ความล้มเหลว" "ล้มเหลว" และ "ข้อผิดพลาด" เพื่อนำคำเตือนบัญชีหรือปัญหาที่ระบุกลับมา เราจะพูดถึงเรื่องนี้อีกเล็กน้อยในภายหลังในบล็อก
8. ปรับข้อความสรุปสำหรับการเริ่มต้นบริการ Netlogon จาก “SVC STARTUP” เป็น “SERVICE STARTUP”
9. โครงร่างตารางการวิเคราะห์ใหม่พร้อมใช้งานสำหรับดร็อปดาวน์ “โครงร่าง” ที่เรียกว่า "การวิเคราะห์ Netlogon"
ก. ด้วยการเปิดตัว Message Analyzer 1.3.1 ตอนนี้คุณสามารถเพิ่ม "มุมมอง Netlogon" ดังนั้นเมนูเค้าโครงจะมีมุมมองตาราง "การวิเคราะห์ Netlogon" ตามที่แสดงด้านล่างในมุมมองตาราง "วิธีเพิ่มมุมมองตาราง "การวิเคราะห์ Netlogon"" (หมายเหตุ ส่วนนั้นมีไว้สำหรับการนำมุมมองตาราง Netlogon Analysis ไปใช้งานบน Message Analyzer 1.3.1 และต่ำกว่า) มุมมองตารางการวิเคราะห์ Netlogon จะให้ตารางการวิเคราะห์ที่มีประสิทธิภาพซึ่งมีเฉพาะคอลัมน์ที่จำเป็นสำหรับการตรวจสอบบันทึก Netlogon เพื่อช่วยให้คุณไม่ต้องปรับคอลัมน์ทุกครั้งที่คุณเปิดบันทึก Netlogon เพื่อตรวจสอบ!
ตอนนี้ด้วยคำอธิบายบางส่วนเกี่ยวกับการอัปเดต มาดูการตรวจจับใหม่ที่พร้อมใช้งาน พร้อมกับมุมมองใหม่ของการตรวจจับใหม่และที่มีอยู่ หากคุณต้องการสรุปเกี่ยวกับการตรวจหาอื่นๆ ที่ไม่ได้ระบุไว้ในบล็อกนี้ โปรดตรวจทานบล็อกโพสต์ที่กล่าวถึงข้างต้น
อันดับแรก มาดูรายการหนึ่งที่ยังคงดำเนินการจัดกลุ่ม การตรวจหารายการ NO_CLIENT_SITE ในบันทึก Netlogon ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ การเปลี่ยนแปลงที่เกิดขึ้นที่นี่เป็นเพียงการแสดงว่าไม่พบไซต์ไคลเอนต์ในข้อความสรุป แน่นอน คุณสามารถใช้ข้อมูลนี้เพื่อระบุตำแหน่งที่คุณอาจพลาดการกำหนดไซต์/เครือข่ายย่อยที่เหมาะสมภายใน Active Directory ซึ่งอาจนำไปสู่การพยายามตรวจสอบสิทธิ์ที่ช้าหรือล้มเหลว
ก่อนที่เราจะไปยังรายการใหม่ที่รวมอยู่ ลองมาดูรูปลักษณ์ใหม่ใน Netlogon parser v3.5 สำหรับการตรวจจับที่มีอยู่แล้วใน v1.1.4:
อย่างที่คุณเห็น วิธีการนำเสนอข้อมูลเปลี่ยนไปเล็กน้อย โดยเฉพาะอย่างยิ่งกับความพยายามในการตรวจสอบสิทธิ์ วิธีแยกย่อยรูปลักษณ์ในตอนนี้ ในแง่ง่ายๆ คือ หากตรวจพบข้อผิดพลาดที่ไม่ได้อยู่ในการตรวจสอบสิทธิ์ (แต่อาจตอบสนองต่อการตรวจสอบสิทธิ์) ระบบจะรายงานข้อผิดพลาดกลับพร้อมเหตุผลของข้อผิดพลาด และในบางกรณีปัญหาที่อาจเกิดขึ้นให้ดู
ตัวอย่างเช่น ในภาพหน้าจอแรก (ภาพหน้าจอ 2 ภาพเหนือย่อหน้านี้) คุณจะเห็นการตรวจจับการยกเลิกการโทร RPC พร้อมกับการตรวจจับที่ไม่มีเซิร์ฟเวอร์การเข้าสู่ระบบ ข้อมูลต้นขั้วที่ไม่ถูกต้องของ RPC เป็นต้น ขณะนี้ทุกบรรทัดมีข้อความจริงจากบันทึกหลังจาก ความหมายของข้อผิดพลาด/ความล้มเหลวที่ระบุยกเว้นคำขอการตรวจสอบสิทธิ์ ซึ่งยังคงให้มุมมองที่แปลแล้วซึ่งขณะนี้ได้รับการปรับปรุงเพื่อให้ความหมายของรหัสข้อผิดพลาดภายในบรรทัดด้วย
สิ่งสำคัญที่ควรทราบในที่นี้คือคำเหล่านี้นำหน้าด้วยคำว่า "DIAGNOSIS" สิ่งนี้ทำให้การค้นหาปัญหาง่ายขึ้นอย่างมาก เพราะตอนนี้ เราสามารถทำให้การกรองง่ายขึ้นเพื่อค้นหาปัญหาทั้งหมดได้อย่างรวดเร็ว เราจะได้เพิ่มเติมในการกรองผ่านบันทึกในบล็อกในภายหลัง
สิ่งที่ควรทราบอีกอย่างที่นี่คือบรรทัดที่ระบุว่า "คำเตือนบัญชี" ส่วนเพิ่มเติมใหม่จำนวนมากใน parser มีสิ่งนี้ที่จุดเริ่มต้นของบรรทัด การกรอง "คำเตือน" หรือ "คำเตือนบัญชี" สามารถแสดงปัญหาการตรวจสอบสิทธิ์ทั้งหมด ซึ่งรวมถึงการรักษาความปลอดภัยหรือการบุกรุกบัญชีที่อาจเกิดขึ้นได้ (การพยายามใช้ชื่อผู้ใช้ที่ไม่ถูกต้อง รหัสผ่านที่ไม่ถูกต้อง การโจมตีที่ส่งผลให้บัญชีถูกล็อค ฯลฯ) คำนำหน้าที่เกี่ยวข้องกับบัญชีเพิ่มเติมที่เพิ่มลงในสรุปที่คุณสามารถดูได้ด้านบนคือ "รหัสผ่านผิด" ซึ่งค่อนข้างอธิบายได้ในตัว...
สำหรับความพยายามในการตรวจสอบความถูกต้อง รูปแบบจะแตกต่างกันเล็กน้อย เนื่องจากปัญหาไม่มีคีย์ "DIAGNOSIS" ที่จุดเริ่มต้น (อย่างไรก็ตาม การกรองใน "DIAGNOSIS" ควรยังคงชี้ให้คุณทราบถึงสาเหตุการเข้าสู่ระบบบัญชีที่ล้มเหลว) แต่คุณจะได้รับแจ้งว่ามีการป้อนการรับรองความถูกต้อง และการตรวจสอบสิทธิ์ล้มเหลว พร้อมด้วยสาเหตุของความล้มเหลว ตามด้วยการแปลแบบง่ายของความพยายามในการตรวจสอบ อย่างไรก็ตาม มีข้อยกเว้นสำหรับสิ่งนี้ และข้อยกเว้นนั้นคือความล้มเหลวในการตรวจสอบสิทธิ์ที่เกิดจากปัญหาเกี่ยวกับบัญชี ซึ่งจะยังคงมีคำนำหน้าข้อความ "คำเตือนเกี่ยวกับบัญชี" หรือ "รหัสผ่านไม่ถูกต้อง" ในข้อมูลสรุป สิ่งนี้ทำขึ้นเพื่อกรองปัญหาบัญชีหรือความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นอย่างครบถ้วน
กรอบที่ไฮไลต์ในภาพหน้าจอนี้แสดงการยืนยันตัวตนที่สำเร็จด้วยรูปลักษณ์ใหม่:
การตรวจสอบสิทธิ์ที่ล้มเหลวจะมีลักษณะคล้ายกับบรรทัดที่ไฮไลต์ด้านล่าง:
แล้วคุณเห็นอะไรที่นี่? ดังที่กล่าวไว้ข้างต้น จะแสดงให้คุณเห็นว่ามีการพยายามตรวจสอบความถูกต้อง บรรทัดถัดไปจะบอกคุณว่ามีการตรวจสอบสิทธิ์ล้มเหลว และการแปลรหัสข้อผิดพลาดสำหรับรหัสข้อผิดพลาดคืออะไร หลังจากนั้นคือบรรทัดจริงจากบันทึก Netlogon โปรดสังเกตว่าบรรทัดไม่ได้นำหน้าด้วยข้อความ "DIAGNOSIS" ใด ๆ การดำเนินการนี้มีสาเหตุหลักเนื่องจากอ่านผ่านความพยายามในการตรวจสอบสิทธิ์ได้ง่ายขึ้นโดยไม่ต้องใช้ถ้อยคำเพิ่มเติม (ไม่ต้องพูดถึงว่าการกรองใน "การวินิจฉัย" จะนำความล้มเหลวเหล่านี้กลับมาด้วย)
สำหรับการรับรองความถูกต้องที่กลับมาพร้อมกับคำเตือนเกี่ยวกับบัญชีนั้น จะแสดงอยู่ในกรอบที่ไฮไลต์ด้านล่าง (ซึ่งจะแสดงอยู่ในภาพหน้าจอด้านบนเช่นกันหากคุณดูอย่างใกล้ชิด):
มีอีกสถานะหนึ่งที่ฉันได้กล่าวถึงสั้นๆ ข้างต้น และนั่นคือ หากมีการพยายามตรวจสอบความถูกต้องกลับมาพร้อมกับรหัสผ่านที่ไม่ถูกต้อง ผลตอบแทนเหล่านั้นจะถูกนำหน้าด้วยคำว่า “รหัสผ่านผิด” เพื่อให้โดดเด่นดังที่แสดงด้านล่าง:
นอกจากนี้ยังมีการเปลี่ยนแปลงอีกอย่างหนึ่งในตัวแยกวิเคราะห์ Netlogon เวอร์ชันนี้ มีรหัสบางอย่างเพื่อตรวจจับความไม่สอดคล้องกัน/ไวยากรณ์ที่ไม่คาดคิดภายในบันทึก Netlogon ซึ่งเกิดขึ้นกับรุ่นไบนารี Netlogon.dll บางรุ่น ใน Netlogon parser เวอร์ชันก่อนหน้า บรรทัดเหล่านี้จะถูกบันทึกและรวบรวมเป็นการจัดกลุ่มการดำเนินงานที่ชื่อว่า "บรรทัดที่จัดกลุ่มไว้ที่นี่มักไม่มีประโยชน์สำหรับการแก้ไขปัญหา โปรดขยายการจัดกลุ่มเพื่อดูรายละเอียด" ซึ่งมีบรรทัดที่ตรวจพบทั้งหมด
parser เวอร์ชันนี้ขยายขอบเขตอย่างมีนัยสำคัญ ขณะนี้โปรแกรมแยกวิเคราะห์ถูกเข้ารหัสเพื่อผ่านบรรทัดเหล่านี้เพื่อระบุความพยายามในการตรวจสอบสิทธิ์และเพื่อค้นหาข้อบ่งชี้ของปัญหาใดๆ ในบรรทัดเหล่านั้นด้วย ขณะนี้ บรรทัดเหล่านี้ถูกรายงานด้วยคำนำหน้าเป็น "LOG INCONSISTENCY" หากเกิด "คำเตือนบัญชี" (หรือความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น) บรรทัดจะนำหน้าด้วย "คำเตือนบัญชีบันทึกที่ไม่สอดคล้องกัน" หากมีการระบุข้อผิดพลาดที่ไม่เกี่ยวกับบัญชี บรรทัดเหล่านั้นจะขึ้นต้นด้วย "LOG INCONSISTENCY DIAGNOSIS" เส้นเหล่านี้ทั้งหมดจะถูกย้ายไปที่ด้านบนสุดของตารางการวิเคราะห์เนื่องจากไม่มีการประทับเวลา ดังนั้น หากคุณกำลังกรอง วิธีการกรองแบบเดียวกับที่กล่าวถึงข้างต้นจะนำบรรทัดอื่นๆ เหล่านี้กลับมาด้วย
นี่คือภาพหน้าจอเพื่อแสดงตัวอย่างลักษณะของเส้นเหล่านี้:
ข้างต้น ฉันยังได้กล่าวถึงการเปลี่ยนแปลงถ้อยคำสำหรับการเริ่มต้นบริการ Netlogon ไวยากรณ์ยังคงเหมือนเดิม มีเพียงถ้อยคำเท่านั้นที่เปลี่ยนไป:
หมายเหตุ: บรรทัดเริ่มต้นบริการยังเป็นที่ที่ตรวจพบสถานะ NeverPing!
แทนที่จะทำให้คุณเบื่อด้วยตัวอย่างภาพหน้าจอของฟังก์ชันใหม่กว่า 9 ล้านภาพ ฉันจะให้ภาพหน้าจอสองสามภาพที่มีการเน้นกรอบคุณลักษณะการตรวจจับใหม่ หวังว่าเมื่อถึงจุดนี้ในบล็อก คุณคงเข้าใจดีว่ารูปแบบมีการเปลี่ยนแปลงอย่างไร และควรมองหาอะไร ต่อมาในบล็อก เราจะมาดูเทคนิคการกรองเพิ่มเติม
ในภาพหน้าจอด้านล่าง คุณจะเห็นได้อย่างชัดเจนว่าเราพบความไม่สอดคล้องกันของบันทึกที่มีทั้งคำเตือนเกี่ยวกับบัญชีและปัญหา เช่นเดียวกับบรรทัดที่มีไวยากรณ์ที่คาดไว้ซึ่งมีปัญหาและคำเตือนเกี่ยวกับบัญชี หากเราดูตัวอย่างนี้อย่างละเอียดยิ่งขึ้น เราจะเห็นว่าบริการตรวจสอบความถูกต้องที่ไม่รู้จักกำลังพยายามตรวจสอบผู้ใช้ บัญชีที่ถูกปิดใช้งานกำลังพยายามรับรองความถูกต้อง เราพบความล้มเหลวในการเรียก RPC ความล้มเหลวในการค้นหาเซิร์ฟเวอร์การเข้าสู่ระบบ ความล้มเหลวในการ แบ่งปัน SYSVOL การล็อกบัญชี และข้อผิดพลาด RPC อีกสองสามข้อ คุณมองเห็นปัญหาเหล่านี้ไหม?? ไม่ต้องสนใจว่าเส้นนั้นจะถูกเน้นไว้ ถ้อยคำนั้นค่อนข้างตรงไปตรงมากับสิ่งที่ถูกระบุ
ภาพหน้าจอสองสามภาพถัดไปแสดงทั้งฟังก์ชันใหม่และที่มีอยู่พร้อมรูปแบบถ้อยคำใหม่สำหรับการสรุป:
อ้อ และก่อนที่ฉันจะลืม ฉันต้องการแสดงตัวอย่างการตรวจจับ "ผลบวกลวง" เนื่องจากตัวกรองทั่วไปเพื่อค้นหา "ล้มเหลว" หรือ "ข้อผิดพลาด" (ในกรณีนี้คือ "ล้มเหลว") ฉันยอมรับว่ามันค่อนข้างน่ารำคาญในบางครั้ง แต่ก็ค่อนข้างง่ายที่จะระบุโดยทั่วไป (จนถึงตอนนี้ฉันเห็นแต่ผลบวกที่ผิดพลาดกับการเริ่มต้นบริการ) และประโยชน์ก็มีมากกว่าความเสี่ยงในการตรวจหาที่ผิดพลาด
ฉันคิดว่าครอบคลุมคุณลักษณะใหม่ ๆ ทางลาดขึ้น ....
คุณยังอยู่กับฉันไหม นอนหลับ? น้ำลายไหลเบื่อกันยัง?? สมมติว่าคุณยังตื่นอยู่และมีความสนใจ เราจะ...!
ปัญหาที่ทราบ
แม้ว่า parser จะได้รับการปรับปรุงอย่างมาก แต่ก็ยังมีปัญหาที่ทราบอยู่บ้าง:
1. ประสิทธิภาพของตัววิเคราะห์ข้อความ
ก. มีปัญหาที่ทราบเกี่ยวกับการใช้ Message Analyzer บนเครื่องเสมือนแกนเดียว ซึ่ง CPU สามารถ (และจะ) เพิ่มสูงขึ้นถึง 99-100%
ข. ตัววิเคราะห์ข้อความ เมื่อใช้กับตัวแยกวิเคราะห์ Netlogon อาจมีหน่วยความจำที่เหมาะสม ฉันแนะนำให้มี RAM อย่างน้อย 4GB แต่อย่างที่เราทราบกันดีว่า RAM ยิ่งมากยิ่งดี!
2. ประสิทธิภาพของตัวแยกวิเคราะห์ Netlogon
ก. ในบางสถานการณ์ (หายาก) ประสิทธิภาพและการทำงานของตัวแยกวิเคราะห์ Netlogon อาจได้รับผลกระทบหากมีการประทับเวลาที่ไม่ต่อเนื่องกันภายในไฟล์บันทึกที่กำลังตรวจสอบ อีกวิธีหนึ่ง หากคุณเคยเปิดใช้งานการเข้าสู่ระบบ Netlogon ไว้ชั่วคราวในอดีต แล้วเปิดใช้งานอีกครั้งในภายหลัง คุณอาจส่งผลกระทบต่อประสิทธิภาพและการทำงานเนื่องจากการประทับเวลาที่ต่างกัน
ฉัน. หากคุณพบสถานการณ์นี้ คุณสามารถหยุดบริการ Netlogon ลบหรือเปลี่ยนชื่อ Netlogon.log จากนั้นเริ่มบริการ Netlogon อีกครั้งเพื่อเริ่มต้นใหม่ด้วยไฟล์ของคุณ หมายเหตุ: สำหรับเซิร์ฟเวอร์แอปพลิเคชันและตัวควบคุมโดเมน การดำเนินการนี้จะพุชการรับรองความถูกต้องและการร้องขอไปยังเซิร์ฟเวอร์อื่นๆ เพื่อให้แน่ใจว่าคุณไม่ได้ทำสิ่งนี้ในระหว่างชั่วโมงการผลิต!
3.การประทับเวลา (เมื่อใช้กับ Message Analyzer 1.1 เท่านั้น)
ก.เมื่อใช้ Netlogon parser v3.5 กับ Message Analyzer 1.1 ปัญหาการประทับเวลา -UTC ที่ได้รับการแก้ไขเมื่อใช้ parser กับ Message Analyzer 1.2 และสูงกว่านั้นยังคงมีอยู่ คุณยังคงได้รับฟังก์ชันเพิ่มเติม
4. การตรวจจับ "การวินิจฉัย" ในเชิงบวกที่ผิดพลาดเนื่องจากการสืบค้นทั่วไป
ก. นี่เป็นปัญหาที่ทราบกันดี แต่ดูเหมือนว่าผลประโยชน์จะเกินดุลความเสี่ยงในการทำให้มั่นใจว่าจะไม่มีการพลิกกลับ!
กรองผลลัพธ์ของคุณ
สิ่งแรกอย่างแรก…คุณต้องรู้ว่ามีฟิลด์ใดบ้าง เพื่อให้คุณทราบวิธีปรับแต่งตัวกรองของคุณอย่างละเอียด เป้าหมายของฉันที่นี่ไม่ใช่การแสดงให้คุณเห็นทุกวิธีในการกรอง เนื่องจากมีหลายวิธี แต่เพื่อให้คุณเริ่มต้นวิธีการกรองแบบง่ายๆ และขั้นสูงขึ้นด้วยโปรแกรมแยกวิเคราะห์ Netlogon ในบางกรณี ไวยากรณ์สามารถเปลี่ยนแปลงได้เพื่อลดความซับซ้อนแม้กระทั่งตัวกรองที่ซับซ้อน แต่อย่างที่ฉันได้กล่าวไปแล้ว นี่คือการเริ่มต้นของคุณ เมื่อคุณคุ้นเคยกับตัววิเคราะห์ข้อความมากขึ้น หรือถ้าคุณคุ้นเคยกับตัววิเคราะห์ข้อความแล้ว คุณจะได้เรียนรู้ข้อมูลเชิงลึกของการกรองที่ดียิ่งขึ้นไปอีก
ตัวแปร (วิธีการกรองทั่วไป) | คำอธิบาย |
ประเภทข้อความ ตัวอย่าง: *msgtype == “สำคัญ” EX: *msgtype ประกอบด้วย “CRITICAL” | มีประเภทของข้อความที่ถูกส่งภายในไฟล์บันทึก เช่น CRITICAL, MAILSLOT, SESSION, LOGON, PERF, MISC เป็นต้น ซึ่งจะพบได้ในข้อความเกือบทั้งหมด แต่ไม่ค่อยมีประโยชน์สำหรับการกรอง เนื่องจากความสามารถอื่นๆ ของ โปรแกรมแยกวิเคราะห์ |
ข้อความที่เหลือ EX: *ข้อความที่เหลือประกอบด้วยคำว่า "ล้มเหลว" | สามารถมีข้อความได้หลายรูปแบบ อะไรก็ได้ตั้งแต่บรรทัดที่สมบูรณ์จากบันทึกไปจนถึงส่วนของข้อความแบบสุ่มที่ไม่น่าสนใจสำหรับการแก้ไขปัญหาและการวิเคราะห์ปัญหา ซึ่งพบได้ในข้อความเกือบทั้งหมด แต่อาจใช้ได้ยากเนื่องจากความสามารถอื่นๆ ของโปรแกรมแยกวิเคราะห์ |
ชื่อโดเมน ตัวอย่าง: *ชื่อโดเมน == “CONTOSO\” EX: *domainName ประกอบด้วย “CONTOSO” | มีชื่อโดเมนสำหรับผู้ใช้ที่พยายามตรวจสอบสิทธิ์ สำหรับความพยายามในการตรวจสอบค่า Null ที่ไม่มีชื่อโดเมน ตัวแปรนี้จะไม่เติมข้อมูล สิ่งนี้มีประโยชน์ในการใช้เป็นตัวกรองเพื่อติดตามแนวโน้มความล้มเหลวในการรับรองความถูกต้องเมื่อล้มเหลวในโดเมนที่เชื่อถือได้เฉพาะ หมายเหตุ: เมื่อกรองค่า domainName คุณต้องใส่เครื่องหมายแบ็กสแลช “\” ในตัวกรองหากใช้ “==” สิ่งนี้ไม่จำเป็นหากใช้ "contains" แทน "==" |
ชื่อผู้ใช้ ตัวอย่าง: *ชื่อผู้ใช้ == “ผู้ใช้ 1” EX: *ชื่อผู้ใช้ประกอบด้วย “User1” | มีผู้ใช้ที่พยายามตรวจสอบสิทธิ์ สิ่งนี้มีประโยชน์อย่างยิ่งในการระบุรูปแบบที่มีแนวโน้มสำหรับผู้ใช้เฉพาะที่ไม่ผ่านการรับรองความถูกต้อง |
เครื่องกำเนิด ตัวอย่าง: *originMachine == “Win7Client22” EX: *originMachine มี “Win7Client22” | ประกอบด้วยชื่ออุปกรณ์ที่ผู้ใช้พยายามตรวจสอบสิทธิ์ (เช่น เครื่องต้นทางหรืออุปกรณ์) โปรดทราบว่าไม่ได้ระบุค่านี้ไว้เสมอ (การรับรองความถูกต้องบางอย่างจาก 3ถระบบปฏิบัติการของบริษัท เป็นต้น) สิ่งนี้มีประโยชน์ในแนวโน้มบนอุปกรณ์ต้นทางหรือเครื่องใดเครื่องหนึ่ง |
เครื่องรีเลย์ ตัวอย่าง: *รีเลย์แมชชีน == “USEXCHCAS01” EX: *relayMachine ประกอบด้วย “USEXCHCAS01” | ประกอบด้วยเครื่องที่พร็อกซีการรับรองความถูกต้องในนามของผู้ใช้และเครื่องต้นทาง โดยทั่วไปจะเป็นเซิร์ฟเวอร์แอปพลิเคชัน (Exchange, IIS, SharePoint, SQL, ฯลฯ) หรือตัวควบคุมโดเมนในโดเมนที่เชื่อถือได้ สิ่งนี้มีประโยชน์ในการช่วยตรวจสอบแนวโน้มจากเซิร์ฟเวอร์แอปพลิเคชันเฉพาะ เพื่อระบุจุดที่คอขวดอาจเกิดขึ้น |
ข้อความอื่นๆ EX: *otherText ประกอบด้วย “Package” | มีข้อความเพิ่มเติม เช่น แฟล็กสำหรับการตรวจสอบสิทธิ์ (ExFlags) หรือในกรณีของการตรวจสอบสิทธิ์ที่ไม่ใช่ NTLM แพ็กเกจการตรวจสอบสิทธิ์ที่ใช้อยู่ (เช่น Kerberos, Microsoft Unified Security Protocol Provider เป็นต้น) ซึ่งมีประโยชน์สำหรับการจำกัดคำขอการตรวจสอบสิทธิ์ที่ไม่ใช่ NTLM ให้แคบลง |
รหัสข้อผิดพลาด ตัวอย่าง: *รหัสข้อผิดพลาด == “0x0” ตัวอย่าง: *รหัสข้อผิดพลาด == “0xC000005E” EX: *errorCode ประกอบด้วย “C000005E” | มีรหัสข้อผิดพลาดที่ส่งคืนสำหรับการพยายามตรวจสอบสิทธิ์ ใช้ “0x0” เพื่อระบุการพิสูจน์ตัวตนที่สำเร็จ หรือใช้รหัสข้อผิดพลาดเฉพาะเพื่อระบุการพยายามพิสูจน์ตัวตนที่ล้มเหลว แม้ว่าคุณสามารถใช้วิธีนี้ได้ แต่โดยทั่วไปก็ไม่จำเป็นเนื่องจากวิธีการอื่นๆ ที่มีให้เพื่อกรองข้อผิดพลาดเฉพาะตามที่อธิบายไว้ด้านล่างในบล็อกนี้ |
สรุป EX: *บทสรุปมีคำว่า “LOCKED OUT” EX: *สรุปประกอบด้วย “user1” EX: *บทสรุปประกอบด้วย “SOME-MACHINE” EX: *บทสรุปมีคำว่า "ล้มเหลว" | นี่เป็นวิธีการกรองทั่วไปที่มีให้โดย Message Analyzer ตัวแยกวิเคราะห์ Netlogon (ทุกเวอร์ชัน) เปิดเผยข้อมูลที่จำเป็นสำหรับพื้นที่ตัวกรองทั้งหมดที่กล่าวถึงข้างต้นภายในพื้นที่สรุป ประเด็นสำคัญเกี่ยวกับวิธีการกรองนี้คือ คุณสามารถใช้ *สรุป มี “ |
ในโปรแกรมแยกวิเคราะห์เวอร์ชันนี้ ฉันได้ใส่บันทึกลงในโปรแกรมแยกวิเคราะห์โดยตรงเพื่อช่วยคุณในการกรองพื้นฐานบางอย่าง แต่คุณไม่จำเป็นต้องไปเปิดตัวแยกวิเคราะห์ นี่คือรายละเอียดของตัวกรองที่เกี่ยวข้องกับบัญชีและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น:
กรอง | สิ่งที่ตัวกรองพบ |
*บทสรุปประกอบด้วย "คำเตือน" | ตัวกรองสำหรับปัญหาเกี่ยวกับบัญชี (รหัสผ่านหมดอายุ, ความพยายามในการตรวจสอบบัญชีที่ถูกปิดใช้งาน, ชื่อผู้ใช้ไม่ถูกต้อง ฯลฯ) |
*สรุปประกอบด้วย "ผิด" | กรองความพยายามในการตรวจสอบสิทธิ์ "รหัสผ่านผิด" |
* ข้อมูลสรุปประกอบด้วย "ล็อค" | ตัวกรองสำหรับเหตุการณ์การล็อกบัญชี |
ตารางข้างต้นเป็นเพียงการกรองขั้นพื้นฐานเท่านั้น ดังนั้น หากเราดูตัวอย่างการกรอง "คำเตือน" นี่คือสิ่งที่เราได้รับ:
หรือหากเรากรอง "ผิด" นี่คือสิ่งที่เราได้รับ:
ทีนี้ มาดูการกรองให้ลึกขึ้นอีกนิด สมมติว่าเราต้องการกรองคำเตือนบัญชีเฉพาะสำหรับการตรวจสอบ Kerberos PAC หรือการตรวจสอบสิทธิ์ Schannel ซึ่งในกรณีนี้ชื่อผู้ใช้จะเป็น "(null)" เราสามารถทำได้โดยใช้ตัวกรองอย่างง่าย: *Summary มี "WARNING" และ *Summary มี "(null)"
หรือคุณสามารถปรับตัวกรองนั้นเป็น: *Summary มี "WARNING" และ *userName มี "(null)"
นี่คือตัวอย่าง:
และถ้าเราต้องการกรองสิ่งนี้ให้ละเอียดยิ่งขึ้นเพื่อดูเฉพาะคำเตือนบัญชีการตรวจสอบ Kerberos PAC เราสามารถใช้ตัวกรอง *Summary มี "WARNING" และ *Summary มี "(null)" และ *Summary มี "Kerberos" หรือคุณสามารถใช้ตัวกรอง *Summary มี "WARNING" และ *userName มี "(null)" และ *otherText มี "Kerberos" ตามที่เห็นในตัวอย่างด้านล่าง:
นี่คือรายละเอียดสำหรับรายการพื้นฐานที่เกี่ยวข้องกับปัญหาที่อาจเกิดขึ้นซึ่งระบุโดยโปรแกรมแยกวิเคราะห์:
กรอง | สิ่งที่ตัวกรองพบ |
*บทสรุปประกอบด้วย "การวินิจฉัย" | ตัวกรองสำหรับปัญหาที่อาจเกิดขึ้นทั้งหมดที่พบ |
*บทสรุปประกอบด้วย "ความล้มเหลว" | กรองความล้มเหลวในการรับรองความถูกต้อง |
*บทสรุปประกอบด้วย "การตรวจสอบ" (สามารถใช้: *สรุป มี "SamLogon:") | กรองการโทรการรับรองความถูกต้องทั้งหมด |
*บทสรุปประกอบด้วย "ล้มเหลว" | คำค้นหาทั่วไปสำหรับคำว่า "ล้มเหลว" |
*บทสรุปมี "ข้อผิดพลาด" | คำค้นหาทั่วไปสำหรับคำว่า "ข้อผิดพลาด" |
การกรองผลลัพธ์สำหรับการแก้ไขปัญหานั้นโดยพื้นฐานแล้วจะเหมือนกับที่เรากล่าวถึงข้างต้นสำหรับสถานการณ์พื้นฐานเพิ่มเติม แต่สมมติว่าเราต้องการเจาะลึกและตรวจสอบหลายบัญชี….
สมมติว่าเราต้องการลองกรองปัญหาการล็อกบัญชี (ซึ่งอาจเชื่อมโยงกับหัวข้อข้างต้นด้วย) สำหรับผู้ใช้ชื่อ "user1" หรือสำหรับความพยายามในการตรวจสอบสิทธิ์ Kerberos หรือ Schannel ในกรณีนั้น ฉันจำเป็นต้องระบุวงเล็บรอบๆ ตัวกรองบางตัว ซึ่งจะส่งผลให้ตัวกรองของ:
*สรุปมี "ผิด" และ (*ชื่อผู้ใช้ == "user1" หรือ *ชื่อผู้ใช้ == "(null)") หรือ *สรุปมี "ล็อค" และ (*สรุปมี "user1" หรือ *สรุปมี "(null)" )
-หรือคุณสามารถใช้-
*ข้อมูลสรุปมี "ผิด" และ (*ชื่อผู้ใช้ == "user1" หรือ *ชื่อผู้ใช้ == "(null)") หรือ *ข้อมูลสรุปมี "ล็อก" และ (*ชื่อผู้ใช้ == "user1" หรือ *ชื่อผู้ใช้ == "(null )")
คุณอาจถามตัวกรองนี้ว่าอะไร มันมองหาคำว่า "ผิด" ใน "รหัสผ่านผิด" หรือมองหาคำว่า "ล็อคแล้ว" ในข้อความสรุปของ "บัญชีถูกล็อกออก" จากนั้น ในกรณีของตัวอย่างตัวกรองแรก ระบุว่าคำว่า "user1 ต้องรวม ” หรือ “(null)” ในการสรุปด้วย ในตัวอย่างที่สอง มีการปรับปรุงเล็กน้อย จะยังคงมองหา "ผิด" หรือ "ล็อก" ในช่องสรุป แต่จากนั้นจะดูเฉพาะที่ตัวแปรชื่อผู้ใช้เพื่อดูว่ามีผู้ใช้ชื่อ "user1" หรือ "(null)" ในช่องเหล่านั้นหรือไม่
ตอนนี้ และนี่อยู่นอกเหนือขอบเขตของบล็อกนี้เล็กน้อย โปรดทราบว่าในกรณีของการล็อกบัญชี DC ที่คุณกำลังดูอยู่อาจไม่ใช่แหล่งที่มาของการล็อก ดังนั้นจึงอาจไม่ครอบคลุมทั้งหมด (หรือ ใดๆ) ของการพยายามใช้รหัสผ่านผิดซึ่งนำไปสู่การล็อกบัญชี ในกรณีนั้น คุณจะต้องระบุ DC ที่บัญชีถูกล็อกไม่ให้ใช้งาน และตรวจสอบบันทึก Netlogon บน DC นั้นด้วย นี่คือตัวอย่างง่ายๆ:
ในตัวอย่างนี้ คุณจะเห็นคำขอรหัสผ่านที่ไม่ถูกต้อง 2 ครั้งสำหรับผู้ใช้ชื่อ user1 ในโดเมน child.domain.com ตามด้วยการล็อกบัญชี หากเกณฑ์การล็อกเอาต์บัญชีของคุณคือ 10 รหัสผ่านที่ไม่ถูกต้องจะต้องถูกส่งไปยังตัวควบคุมโดเมนอื่นด้วย ดังนั้นอาจมีการตามล่ามากขึ้นเพราะนี่คิดเป็น 2/10 ของความพยายามที่ไม่ถูกต้องเท่านั้น
บรรทัดล่างสุด:
สำหรับการกรองอย่างง่ายที่คุณทราบค่าที่ต้องการ คุณสามารถใช้ตัวกรองอย่างง่ายที่มี "และ" หรือ "หรือ" คั่นสิ่งที่คุณกำลังมองหา แต่ถ้ามีข้อจำกัดหลายประการ เช่น การค้นหาศักยภาพของสตริงหลายรายการในข้อมูลสรุป แล้วจำกัดมุมมองนั้นให้แคบลงเฉพาะเครื่อง/อุปกรณ์ (หรือมากกว่า 1 เครื่อง) หรือผู้ใช้ คุณจะต้อง "และ" ตัวกรอง เปิดวงเล็บ ใส่ข้อจำกัดเพิ่มเติม แล้วปิดวงเล็บ
ดูตัวอย่างก่อนหน้านี้ที่มีให้ คุณจะเห็นไวยากรณ์นี้:
*ข้อมูลสรุปมี "ผิด" และ (*ชื่อผู้ใช้ == "user1" หรือ *ชื่อผู้ใช้ == "(null)") หรือ *ข้อมูลสรุปมี "ล็อก" และ (*ชื่อผู้ใช้ == "user1" หรือ *ชื่อผู้ใช้ == "(null )")
สังเกตว่าในตัวอย่างมีข้อจำกัดในการค้นหาข้อมูลสรุปใดๆ ที่มีคำว่า "ผิด" โดยมีข้อจำกัดเพิ่มเติมว่าบรรทัดนั้นต้องมีชื่อผู้ใช้เป็น "user1" หรือ "(null)" ซึ่งตามด้วยการค้นหาวลี “ล็อก” ด้วยข้อจำกัดชื่อผู้ใช้เดียวกัน คุณต้องเจาะจง!
ตอนนี้ มาดูตัวอย่างเดียวกัน แต่คราวนี้สมมติว่าฉันไม่ต้องการรวมบัญชีผู้ใช้ "(null)" แต่ฉันต้องการดูบัญชีที่ถูกล็อกอื่นๆ ทั้งหมด สำหรับสิ่งนี้ เราใช้ไวยากรณ์ดังนี้:
*สรุปมี "ผิด" และ (ไม่ใช่ *ชื่อผู้ใช้ == "(null)") หรือ *สรุปมี "ล็อค" และ (ไม่ใช่ *ชื่อผู้ใช้ == "(null)")
-หรือ-
*ข้อมูลสรุปมี "ผิด" และ (ไม่ใช่ *ชื่อผู้ใช้มี "(null)") หรือ *ข้อมูลสรุปมี "ล็อค" และ (ไม่ใช่ *ชื่อผู้ใช้มี "(null)")
-หรือ-
*สรุปมี "ผิด" และ (ไม่ใช่ *สรุปมี "(null)") หรือ *สรุปมี "ล็อก" และ (ไม่ใช่ *สรุปมี "(null)")
มีตัวเลือกมากมาย ใช่เลย! ผลลัพธ์ของข้อความค้นหาประเภทนี้ โดยใช้ไฟล์ตัวอย่างเดียวกันกับที่เราเคยใช้คือ:
สังเกตจากตัวอย่างนี้ว่าเราได้รับเฉพาะความพยายามในการตรวจสอบสิทธิ์สำหรับ “user1” เท่านั้น แต่เรายังได้รับบรรทัดอื่นๆ สำหรับการส่งรหัสผ่านผิดและการล็อกบัญชีอีกด้วย ที่เกิดขึ้นเนื่องจากบทสรุปเหล่านั้นมีคีย์เวิร์ดเดียวกันกับที่เรากำลังค้นหาบทสรุป มีเสียงรบกวนเล็กน้อย แต่คุณสามารถลดเสียงรบกวนได้เล็กน้อยโดยเปลี่ยนตัวกรองเป็นดังนี้:
*สรุปมี "ผิด" และ (ไม่ใช่ *ชื่อผู้ใช้ == "(null)") และ (*สรุปมี "ล้มเหลว")
หรือ
*สรุปมี "ล็อค" และ (ไม่ใช่ *ชื่อผู้ใช้ == "(null)") และ (*สรุปมี "ล้มเหลว")
หมายเหตุ: คุณยังสามารถใช้รูปแบบอื่นๆ ตามที่กล่าวไว้ข้างต้นได้!
วิธีการนี้ให้ผลลัพธ์เช่นนี้:
วิธีอัปเดตตัวแยกวิเคราะห์ Netlogon ด้วยตนเองเป็น v3.5
หากคุณกำลังใช้ Message Analyzer 1.1, 1.2 หรือ 1.3 แต่ยังต้องการใช้ประโยชน์จากคุณลักษณะใหม่ๆ ที่แนะนำใน Netlogon parser v3.5 คุณสามารถปฏิบัติตาม 4 ขั้นตอนด้านล่างเพื่อปรับใช้ Netlogon parser ที่อัปเดต โปรดทราบว่า Netlogon parser v3.5 เขียนขึ้นสำหรับ Message Analyzer 1.3 ขึ้นไป ดังนั้นอาจมีจุดบกพร่องที่ไม่ได้ระบุในการทดสอบและไม่ได้กล่าวถึงในรายการปัญหาที่ทราบข้างต้น!
หมายเหตุ: ไม่มีเวอร์ชันของ Parser ของ Netlogon ที่จะทำงานบน Message Analyzer เวอร์ชันใด ๆ ที่น้อยกว่า Message Analyzer 1.1 ขอแนะนำอย่างยิ่งให้หาวิธีแก้ไขตัวบล็อกการปรับใช้ของคุณ เพื่อให้คุณสามารถอัปเกรดเป็น Message Analyzer 1.3.1 ได้โดยเร็วที่สุด!
จากที่กล่าวมา ต่อไปนี้คือวิธีที่คุณอัปเดตโปรแกรมแยกวิเคราะห์ด้วยตนเอง:
1. หากตัววิเคราะห์ข้อความกำลังทำงานอยู่ โปรดปิดเครื่องและตรวจสอบให้แน่ใจว่ากระบวนการนี้ไม่ได้อยู่ในรายการตัวจัดการงานอีกต่อไป
2. ดาวน์โหลดไฟล์ Netlogon-35-config.zip ในบล็อกนี้ (ไฟล์ zip นี้มีตัวแยกวิเคราะห์ Netlogon v3.5 รวมถึงไฟล์มุมมองกริด "Netlogon Analysis")
ก. ไฟล์ภายใน Netlogon-35-config.zip คือ: Netlogon.config, Netlogon-Analysis-View.asset และ Netlogon-Analysis-View.metadata
3. Unzip Netlogon-35-config.zip ไปยังตำแหน่งที่คุณเลือก
4. คัดลอกไฟล์ Netlogon.config ที่คุณคลายซิป:
ก. หากใช้ Message Analyzer 1.2 หรือ 1.3: %userprofile%\AppData\Local\Microsoft\MessageAnalyzer\OPNAndConfiguration\TextLogConfiguration\DevicesAndLogs (เมื่อได้รับแจ้งให้เขียนทับไฟล์ ให้เลือกตัวเลือกเพื่อแทนที่ไฟล์ในปลายทาง)
ข. หากใช้ตัววิเคราะห์ข้อความ 1.1: %userprofile%\AppData\Local\Microsoft\MessageAnalyzer\OPNAndConfiguration\TextLogConfiguration\AdditionalTextLogConfigurations (เมื่อได้รับแจ้งให้เขียนทับไฟล์ ให้เลือกตัวเลือกเพื่อแทนที่ไฟล์ในปลายทาง)
หลังจากทำตามขั้นตอน 4 ขั้นตอนข้างต้นแล้ว Netlogon parser v3.5 ควรจะนำไปใช้และพร้อมใช้งานเมื่อคุณเปิด Message Analyzer อีกครั้ง
วิธีเพิ่มมุมมองกริด "Netlogon Analysis" ใหม่
ในฐานะที่เป็นโบนัสเพิ่มเติมสำหรับ parser ใหม่ มุมมองกริดการวิเคราะห์ที่มีมุมมองที่ละเอียดยิ่งขึ้นเฉพาะสำหรับความต้องการในการวิเคราะห์บันทึก Netlogon พร้อมให้ดาวน์โหลดในบล็อกนี้ ตารางการวิเคราะห์นี้ประกอบด้วยหมายเลขข้อความ การวินิจฉัย (เช่น ประเภทการวินิจฉัย) เวลาที่ผ่านไป ข้อมูลสรุป แหล่งที่มาของการติดตาม (ชื่อของบันทึก Netlogon ต้นทาง) และเส้นทางแหล่งที่มาของการติดตาม (เส้นทางไปยังบันทึก Netlogon ต้นทาง) คุณต้องดาวน์โหลด Netlogon-35-config.zip ที่ด้านล่างของบล็อกนี้เพื่อรับไฟล์เนื้อหาที่จำเป็นเพื่อเพิ่มมุมมองตารางการวิเคราะห์นี้
ต่อไปนี้คือวิธีที่คุณนำเข้ามุมมองตารางการวิเคราะห์ Netlogon ด้วยตนเอง (สมมติว่าคุณได้นำเข้าตัวแยกวิเคราะห์ Netlogon v3.5 แล้ว และกำลังเรียกใช้ตัววิเคราะห์ข้อความ 1.3 หรือ 1.3.1):
1. เปิดตัววิเคราะห์ข้อความ
2. เปิดบันทึก Netlogon เพื่อเริ่มเซสชันใหม่ (คุณสามารถลากและวางไฟล์หรือเปิดโดยใช้เมนูไฟล์หรือทางลัดในหน้าเริ่มต้น) เลือกตัวแยกวิเคราะห์ Netlogon และคลิกเริ่ม
3. เหนือตารางการวิเคราะห์ ให้คลิกเมนูแบบเลื่อนลง (หรือใช้ตัวเลือก เซสชัน|ตารางการวิเคราะห์|เค้าโครง)
4. เลือก Manage Layouts จากนั้นคลิก Manage…
5. ในหน้าจอ Manage View Layout เลือกนำเข้า
6. เรียกดูเส้นทางที่คุณคลายซิป Netlogon-35-config.zip เพื่อค้นหาไฟล์ Netlogon-Analysis-View.asset จากนั้นเลือกไฟล์นั้นแล้วคลิก เปิด หรือดับเบิลคลิกที่ไฟล์ .asset
7. ในหน้าจอเลือกรายการที่จะนำเข้า เพียงคลิกปุ่มตกลง
8. ตอนนี้คุณควรกลับมาที่หน้าต่าง Manage View Layout แล้ว หากคุณเลื่อนลง คุณควรเห็นประเภท Netlogon ใหม่ โดยมีมุมมองตารางการวิเคราะห์ Netlogon อยู่ในรายการ
9. คลิกปุ่มตกลง
10. ตอนนี้คุณควรจะสามารถเลือกมุมมองตารางการวิเคราะห์ Netlogon ได้ คุณสามารถเลือกมุมมองนี้จากการเลือก "เลย์เอาต์" ที่อยู่เหนือตารางการวิเคราะห์เมื่อเปิดไฟล์บันทึก (1เซนต์ภาพหน้าจอ) หรือจากเมนู Session à Analysis Grid à Layout (2ndภาพหน้าจอ)
ลิงค์อ้างอิง
คุณลักษณะใหม่ใน Netlogon Parser (v1.1.4) สำหรับตัววิเคราะห์ข้อความ
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/new-features-in-the-netlogon...
ขอแนะนำ Netlogon Parser (v1.0.1) สำหรับ Message Analyzer 1.1 (โดย: Brandon Wilson)
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/introducing-the-netlogon-par...
การแก้ไขปัญหาเบื้องต้นสำหรับ Netlogon Parser (v1.0.1) สำหรับตัววิเคราะห์ข้อความ (โดย: Brandon Wilson)
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/troubleshooting-basics-for-t...
การอ้างอิงด่วน: การแก้ไขปัญหารหัสข้อผิดพลาด Netlogon (โดย: Brandon Wilson)
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/quick-reference-troubleshoot...
ข้อมูลอ้างอิงด่วน: การแก้ไขปัญหา การวินิจฉัย และการปรับแต่งปัญหา MaxConcurrentApi (โดย: Brandon Wilson)
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/quick-reference-troubleshoot...
ขอบคุณ แล้วคุยกันใหม่คราวหน้า!
-แบรนดอน วิลสัน
Netlogon-35-config.zip