Active Directory 工具学习笔记(10.8):AdInsight------保存与导出(证据留存、共享与二次分析)
- [Active Directory 工具学习笔记(10.8):AdInsight------保存与导出(证据留存、共享与二次分析)](#Active Directory 工具学习笔记(10.8):AdInsight——保存与导出(证据留存、共享与二次分析))
-
- 你将收获
- 一、保存与导出的三类目的
- 二、操作路径(通用流程)
-
- 1) 保存原始捕获(推荐) 保存原始捕获(推荐))
- 2) 导出结构化数据 导出结构化数据)
- 3) 长跑与切片 长跑与切片)
- 4) 保存过滤器与视图模板 保存过滤器与视图模板)
- 三、导出列建议("分析友好"字段集合)
- 四、文件命名与目录规范(模板可抄)
- 五、合规与脱敏清单
- 六、导出后的二次分析玩法
-
- 1) Excel 透视与条件格式 Excel 透视与条件格式)
- 2) 命令行统计(LogParser / PowerShell) 命令行统计(LogParser / PowerShell))
- 3) 可视化(Power BI / Grafana) 可视化(Power BI / Grafana))
- 4) 关联证据 关联证据)
- 七、常见坑与规避
- 八、交付物模板(随导出一起交)
- 结语
Active Directory 工具学习笔记(10.8):AdInsight------保存与导出(证据留存、共享与二次分析)
目标:把"现场抓到的真相"安全、可复盘地带走;把"可读的证据"交付给同事与管理层;把"可计算的数据"喂给 Excel/BI/脚本做二次分析。
你将收获
- 一套保存/导出策略:何时全量、何时过滤后导出。
- 字段清单与命名规范:让证据文件可读、可检索、可校验。
- 二次分析玩法:Excel 透视、脚本统计、可视化看瓶颈。
- 合规与脱敏要点:保留关键上下文,避免泄露敏感信息。
一、保存与导出的三类目的
- 证据留存(Forensics) :最大化完整性 → 倾向全量原始会话 + 哈希校验。
- 共享沟通(Handoff) :便于开发/网络/安全同事快速阅读 → 筛选后导出 + 高亮规则说明 + 复现步骤。
- 二次分析(Analytics) :用于批量统计、对比和可视化 → 结构化导出(CSV/TSV) + 字段标准化。
实战建议:先全量保存,再导出精选集。先保底,再提炼。
二、操作路径(通用流程)
菜单项在不同版本可能命名略有差异,下列为常见做法与选项心法。
1) 保存原始捕获(推荐)
- File → Save / Save Capture / Save Session
- 常见选项:
- All Events vs Filtered Events:做留证用选 All;做共享用选 Filtered。
- Include Column Setup / Filters / Highlights :勾选可保留当前视图方案,便于复盘"一模一样"的画面。
- Time Format / Timezone:建议 UTC(多地协同少踩坑)。
2) 导出结构化数据
- File / Export → CSV(或 TSV)
- 选项建议:
- Include Header(保留列名)
- Delimiter :团队统一用 TSV(制表符),避免 CSV 与 DN/Filter 中逗号冲突。
- Encoding :UTF-8(若走 Excel,建议 UTF-8 with BOM,中文更稳)
- Time Precision:毫秒级(分析慢查询必备)
- Only Visible Columns:若"供人看",勾选;若"供机器算",导出全列。
3) 长跑与切片
- 捕获时间较长时,按时间窗口 切片导出:
- 例如:
09:00--09:10登录波峰、12:00--12:30午间慢查询、18:00--18:15停机前验证。
- 例如:
- 对应文件名中显式标注起止时间,便于拼接时间线。
4) 保存过滤器与视图模板
- Save Filter / Save View / Export Settings
把过滤条件、分组、强调颜色、列顺序一起保存。团队共享 = 经验复用。
三、导出列建议("分析友好"字段集合)
| 列名(建议) | 用途 | 备注 |
|---|---|---|
| TimeUtc / DurationMs | 时序与性能 | 统一 UTC、毫秒精度 |
| Process / PID / User | 主体归因 | 谁发起、以谁身份 |
| Server / ServerPort | DC/GC 与协议 | 389/636/3268/3269 |
| Operation | 行为类别 | bind/search/modify/add |
| Scope / Filter | 查询范围/谓词 | Base/OneLevel/SubTree |
| DN / Attribute | 对象与属性 | 可能含敏感信息,注意脱敏 |
| Result / StatusText | 成败与错误码 | 0=成功;49/50/81/82... |
| Entries | 返回条目数 | 评估查询规模 |
| Auth | 协商方式 | Kerberos/NTLM/Negotiate |
| Referral | 是否转介 | True/False |
| ClientIP | 客户端来源 | 多层代理时很有用 |
心法:能复盘 (上下文够)、能统计 (字段规范)、能分享(可读性)。
四、文件命名与目录规范(模板可抄)
AdInsight_[CASE-2025-11-12]_[AppA-PROD]_[GC-East]_[UTC0900-0930]_[Filtered-BindError].tsv
AdInsight_[CASE-2025-11-12]_[AppA-PROD]_[GC-East]_[FullCapture].session
AdInsight_[CASE-2025-11-12]_FiltersAndView_[v3].json- 关键元素:CaseID/日期 、系统/环境 、站点/端口 、时间窗 、是否过滤 、版本号。
五、合规与脱敏清单
- 最小披露:共享给第三方前,仅保留必要列(去 DN/Attribute 值或做遮罩)。
- 账号信息 :对
sAMAccountName、UPN做部分脱敏 (中间位替换为*)。 - 密钥材料 :任何凭据/票据相关字段不外发(或只留哈希摘要)。
- 访问控制:标注"内部/保密"并放置受控目录;必要时加密压缩。
- 可核验性 :输出包内附带
sha256sum.txt。
六、导出后的二次分析玩法
1) Excel 透视与条件格式
- 透视:
Process×Avg(DurationMs)×Count()→ 找"谁最慢""最常错"。 - 条件格式:对
DurationMs > 500、Result != 0着色,一眼扫出异常带。
2) 命令行统计(LogParser / PowerShell)
powershell
# 统计每个进程的事件量与平均耗时
Import-Csv .\capture.tsv -Delimiter "`t" |
Group-Object Process | ForEach-Object {
[pscustomobject]@{
Process = $_.Name
Count = $_.Count
AvgMs = [int]($_.Group.DurationMs | Measure-Object -Average).Average
}
} | Sort-Object AvgMs -Descending3) 可视化(Power BI / Grafana)
- 把 TSV 导入,做 按分钟聚合的耗时曲线 、按 DC/GC 分布的箱线图 、按 Operation 的堆叠柱状图。
4) 关联证据
- 与 PerfMon/网络抓包/应用日志 按时间轴对齐,标注"慢点"与"报错点"的上下游因果。
七、常见坑与规避
- CSV 逗号冲突 → 用 TSV;或开启引号与转义。
- 编码乱码 → 统一 UTF-8(BOM)。
- Excel 行数上限 → 超大文件先切片或改用 Power BI/脚本。
- 时区错位 → 统一导出 UTC;口头沟通时再换本地时间。
- "Filtered Events"误用 → 证据留存阶段务必另存一份 All Events。
八、交付物模板(随导出一起交)
README.txt:问题描述、抓包环境、复现步骤、时间窗、版本、责任人。FiltersAndView.json:当前过滤器与视图模板。capture_full.session:原始会话。capture_focus.tsv:过滤后数据。sha256sum.txt:所有文件校验值。
结语
保存得干净、导出得规范,后续的分析与协作才不拉胯。下一篇我们把 AdInsight 命令行选项讲透,做到"脚本一跑,采集/过滤/导出一条龙",让排障流程真正自动化。