Настройка регистрации события аудита 5807 и логирования инцидентов в рамках механизма DC Locator

Событие аудита 5807 (NO_CLIENT_SITE) возникает в рамках механизма DC Locator — алгоритма, с помощью которого клиентские устройства находят подходящий контроллер домена для аутентификации. Оно предупреждает администратора о необходимости обновить топологию сайтов, когда множество клиентов подключаются с IP-адресами, не сопоставленными ни с одной подсетью в службе каталогов.

Эллес предоставляет инструменты для настройки регистрации данного события, а также отдельных инцидентов, возникающих при обнаружении клиента с несопоставленным IP-адресом. Индивидуальные инциденты логируются в классе netlogon, а суммарное событие 5807 — в классах auth_audit и auth_json_audit.

Общие сведения

Механизм DC Locator — это алгоритм, используемый клиентскими устройствами для поиска подходящего контроллера домена (DC) при аутентификации и получении групповых политик.

Процесс включает:

  1. Клиент запрашивает у DNS-сервера список контроллеров домена.

  2. Клиент отправляет UDP-запрос (LDAP ping) на найденные контроллеры.

  3. Контроллер домена анализирует IP-адрес клиента и сопоставляет его со списком подсетей, настроенных в службе каталогов.

Если IP-адрес клиента не сопоставлен ни с одной из подсетей, то есть система не может определить, из какого физического или логического сайта подключается клиент, регистрируется инцидент. Такие инциденты накапливаются в течение заданного периода времени. Когда их количество превышает установленный порог, генерируется событие аудита 5807 (NO_CLIENT_SITE).

Предупреждение указывает администратору на необходимость обновления топологии сайтов, чтобы избежать неоптимального распределения трафика, задержек при входе в систему и нагрузки на удаленные контроллеры домена.

Настройка параметров

Для настройки обработки события 5807 используются два конфигурационных параметра:

  • dc locator no client site minimum count — минимальное количество инцидентов за период, при превышении которого генерируется событие 5807 (значение по умолчанию — 10);

  • dc locator no client site period — период времени (в минутах), в течение которого подсчитываются инциденты (значение по умолчанию — 240, 4 часа).

Пример изменения значений параметров в разделе global файла smb.conf:

[global]
    ...
    dc locator no client site minimum count = 25
    dc locator no client site period = 60
    ...

Эти параметры действуют только на контроллере домена и не влияют на клиентские устройства. Изменения вступают в силу после перезапуска службы Netlogon или перезагрузки сервера.

Настройка логирования индивидуальных инцидентов

Индивидуальные инциденты (по одному на каждый несопоставленный IP) логируются в рамках отдельного класса отладки netlogon. Они могут записываться в отдельный файл (если соответствующая настройка добавлена в конфигурацию) с уровнем логирования 1 и содержат информацию о конкретном IP-адресе клиента.

Для перенаправления сообщений о таких инцидентах в отдельный файл добавьте класс логирования netlogon с требуемыми настройками в файл smb.conf

Например:

log level = 0 netlogon:1@/app/inno-samba/var/netlogon.log

Настройка в примере:

  • устанавливает общий уровень логирования в 0 (минимальный);

  • направляет все сообщения с классом netlogon и уровнем 1 в файл /app/inno-samba/var/netlogon.log.

Это позволяет отслеживать и анализировать инциденты без влияния на основные логи аудита.

Пример сообщения об инциденте:

[2026-04-16 06:35:19.156170,  1] ../../source4/dsdb/samdb/ldb_modules/netlogon.c:90(log_dc_locator_no_client_site)
  log_dc_locator_no_client_site: NO_CLIENT_SITE: Client 10.1.188.101 is not in any site.

Настройка логирования события аудита 5807

Событие аудита 5807 (NO_CLIENT_SITE) регистрируется через классы аудита auth_audit и auth_json_audit. Для его корректной фиксации уровень логирования этих классов должен быть установлен не ниже 1.

Пример настройки логирования в smb.conf:

log level = 1 auth_audit:1 auth_json_audit:1

Пример текстового сообщения (класс отладки auth_audit):

[2026-04-16 08:41:05.314067,  1] ../../source4/dsdb/samdb/ldb_modules/netlogon.c:113(log_dc_locator_no_client_site)
  log_dc_locator_no_client_site: During the past 00:01 hh:mm there have been more then 1 connections to this Domain Controller from client machines whose IP addresses don't map to any of the existing sites...

Пример сообщения в формате JSON (класс отладки auth_json_audit):

{
  "eventId": 5807,
  "timestamp": "2026-04-16T06:35:36.513181+07:00",
  "serviceDescription": "netlogon",
  "message": "NO_CLIENT_SITE",
  "elapsedMins": "1",
  "from": "2026-04-16T06:34:36.000000+07:00",
  "to": "2026-04-16T06:35:36.000000+07:00",
  "incidentCount": "6",
  "periodMins": "1",
  "minIncidentCount": "1"
}
См. описание полей сообщений в разделе «Аудит Эллес».