Conclusion

 

Conclusion

L’audit est un élément qui n’est pas simple à appréhender. En activant trop d’éléments les journaux risquent d’être volumineux et difficile à exploiter. La taille du journal d’audit est limitée.  Il est donc difficile de garantir la période de retour en arrière. Par défaut lorsque le journal a atteint sa taille limite les évènements les plus anciens seront remplacés. Il est possible, si vous avez des contraintes fortes,  de déplacer les journaux sur un autre volume et de les archiver.

 La recherche depuis l’observateur d’événement n’est pas simple. Néanmoins la liste des événements existant ainsi que les filtres peuvent vous aider à isoler des éléments.

Powershell avec les commandes « get-eventlog » et « get-winlog » peuvent vous aider à rechercher des éléments précis. Il permet entre autre de filtrer les éléments sur des termes présents dans les détails. Powershell permet également d’interroger les journaux sur plusieurs serveurs à la fois, ce qui peut être très utile.

Si le volume de données complique la recherche, il faut également retenir que la recherche depuis l’observateur d’événement n’est pas toujours simple.

Enfin les journaux d’audit ne sont pas centralisés par défaut. Il est possible d’utiliser les abonnements pour centraliser certains évènements à suivre en particulier.

Pour finir gardons à l’esprit que « le mieux est l’ennemi du bien ».

 

Référence Annexe

Liste des événements de sécurité.

https://support.microsoft.com/kb/947226/fr?wa=wsignin1.0

http://blogs.technet.com/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx

http://www.ssi.gouv.fr/uploads/IMG/pdf/Audit_des_permissions_en_environnement_Active_Directory_article.pdf

http://www.microsoft.com/en-us/download/details.aspx?id=35753