3.3 Audit IPAM

IPAM biedt uitgebreide bewakings- en auditfuncties waarmee u IPAM-configuratiewijzigingen, DHCP-configuratiewijzigingen, IP-adresgebruik en andere belangrijke netwerkinfrastructuurgebeurtenissen kunt volgen.

Voordat u de controle-informatie bekijkt, moet u zich echter bewust zijn van een aantal wijzigingen die u moet aanbrengen om gebeurtenissen efficiënt te kunnen volgen. Dit zijn:

  • Controle van aanmeldingsgebeurtenissen inschakelen – U moet controle van aanmeldingsgebeurtenissen van accountaccounts inschakelen op zowel AD DS-domeincontrollers als servers waarop de NPS-rol wordt uitgevoerd. U kunt dit configureren met behulp van Groepsbeleid. Navigeer in de Groepsbeleidsbeheer-editor naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid en schakel de waarde Auditaccountaanmeldingsgebeurtenissen in.
  • Grootte van logboek voor beveiligingsgebeurtenissen configureren – Om rollover te voorkomen, moet u het logboek voor beveiligingsgebeurtenissen vergroten, zodat het groot genoeg is om de periodieke IPAM-audittaak te laten voltooien zonder gebeurtenissen te overschrijven. Nogmaals, u kunt GPO’s gebruiken om deze wijziging te realiseren. Navigeer in de Groepsbeleidsbeheer-editor naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Gebeurtenislogboek en schakel de waarde in en configureer vervolgens de waarde Maximale beveiligingslogboekgrootte.
  • Locatie van auditlogbestand configureren – Zorg ervoor dat de locatie van het logbestand voor DHCP IPv4- en IPv6-leases in dezelfde map is opgeslagen. De IPAM-auditprocessen hebben toegang tot deze informatie vanuit een enkele gedeelde map. Standaard worden beide logboeken opgeslagen in C:\Windows\system32\dhcp.

3.3.1 Controleer de wijzigingen die zijn uitgevoerd op de DNS- en DHCP-servers

Het is belangrijk om de wijzigingen te kunnen volgen die beheerders aanbrengen in uw IPAM-server(s) en in de door IPAM beheerde netwerkdiensten (DHCP, DNS en NPS). Het knooppunt Event Catalog in de IPAM-console geeft u toegang tot controle-informatie die betrekking heeft op deze gebeurtenissen.

Om configuratiewijzigingen in DNS- of DHCP-services te bekijken, klikt u in de IPAM-console op Gebeurteniscatalogus en vervolgens op IPAM-configuratiegebeurtenissen, zoals weergegeven in Afbeelding 3-36. U kunt DNS- en DHCP-gerelateerde gebeurtenissen identificeren in de kolom Trefwoorden. De detailweergave geeft meer inzicht in de gebeurtenis die u hebt geselecteerd in het venster IPAM-configuratiegebeurtenissen.

 Het IPAM-configuratiegebeurtenisknooppunt vermeldt gebeurtenissen die betrekking hebben op DNS, DHCP, NPS en IPAM zelf, inclusief inrichting, detectie en beheer van adresruimte. Als u aanvullende informatie wilt over de DHCP-services die in uw organisatie worden uitgevoerd, kunt u het knooppunt DHCP-configuratiegebeurtenissen selecteren, zoals weergegeven in de volgende afbeelding.

Het knooppunt DHCP-configuratiegebeurtenissen vermeldt alle DHCP-gerelateerde gebeurtenissen voor alle gedetecteerde en beheerde servers in uw organisatie die de DHCP-rol uitvoeren.

3.3.2 Audit het IPAM-adresgebruiksspoor

U kunt ook de monitoringfuncties van IPAM gebruiken om het IP-adresgebruik binnen uw organisatie te bepalen. U hebt toegang tot deze informatie vanaf het IP-adresruimteknooppunt in de IPAM-console. Selecteer vervolgens het knooppunt IP-adresblokken, IP-adresinventaris of IP-adresbereikengroepen.

Als u bijvoorbeeld het gebruik van een bepaalde DHCP-scope wilt bekijken, klikt u op het knooppunt IP-adresbereikgroepen en selecteert u een DHCP-scope in het IPv4-venster, zoals weergegeven in de volgende afbeelding. In de kolom Percentage gebruikt wordt weergegeven hoeveel van de adresruimte wordt gebruikt. Klik op het tabblad Gebruikstrend in de detailweergave. U kunt de trendgrafiek van het gebruik van het IP-adresbereik zien voor een geselecteerde periode, in dit geval de laatste dag.

3.3.3 Audit DHCP-leasegebeurtenissen en gebruikersaanmeldingsgebeurtenissen

IPAM stelt u ook in staat om gebeurtenissen met betrekking tot DHCP-leasegebeurtenissen en gebruikersaanmeldingsgebeurtenissen centraal te volgen en te bekijken. Deze worden weergegeven in de Event Catalogus in de node IP Address Tracking. U kunt deze informatie bekijken door:

Om DHCP-leasegebeurtenissen of gebruikersaanmeldingsgebeurtenissen op IP-adres te bekijken, klikt u op het knooppunt Op IP-adres, zoals weergegeven in de volgende afbeelding. Typ in het deelvenster Op IP-adres in het tekstvak het IP-adres dat u wilt bijhouden en het datumbereik waarin u geïnteresseerd bent, en klik vervolgens op Zoeken.

Klik op een gebeurtenis in het deelvenster Op IP-adres en de detailweergave biedt meer informatie over de geselecteerde gebeurtenis. Als u de bijgehouden informatie liever op client-ID wilt bekijken, klikt u op het knooppunt Op client-ID. Als u naar een specifieke client wilt zoeken, zoals weergegeven in de volgende afbeelding, voert u het MAC-adres in het tekstvak in en klikt u vervolgens op Zoeken.

U kunt ook naar lease-informatie zoeken op hostnaam of gebruikersnaam, zoals weergegeven in de volgende afbeeldingen.