Active Directory сохраняет только последнюю дату входа.
Что касается истории, контроллер домена будет регистрировать событие входа в журнал событий. Если у вас несколько контроллеров домена, какой бы контроллер домена вы ни проходили, он будет содержать эту запись для входа. Вот почему упомянутые инструменты имеют свое место, потому что они будут сканировать все контроллеры домена для записей входа в систему вместо того, чтобы вручную сканировать журналы событий с каждого контроллера домена.
Журналы событий на контроллерах домена являются конечными размер, а на некоторых занятых доменах журнал будет переноситься, а иногда может содержать записи только за один день. Следует понимать, что журналы событий предназначены только для ведения журнала информации, а не аудита информации.
Если вы хотите аудита входа в систему информация, то вам следует взглянуть на SIEM (Информация о безопасности и управление событиями). Эти инструменты предназначены для аудита событий. Они будут использовать все журналы событий контроллеров домена и хранить их. Они не только обеспечивают одитинг (то есть историю входа в систему), но они обычно поставляются с определенным набором интеллектуальных возможностей, чтобы предупреждать вас о таких вещах, как подозрительные действия или необычные входы в систему.
Что касается бесплатных инструментов SIEM ... хорошо вещи бьют и пропускают. Обычно «свободный» в этой области означает сложный и сложный в настройке. Текущий лучший «бесплатный» инструмент с открытым исходным кодом - AlienVault OSSIM . Я слышал хорошие отзывы от большинства платных инструментов SIEM, которые значительно проще в настройке и обычно стоят своих затрат. Один из популярных платных инструментов - SolarWinds . Это даст вам все необходимое для аудита и соответствия. Скорее всего, вам придется провести некоторое время, чтобы найти то, что отвечает вашим потребностям в аудите и соответствии.