Como obter relatórios do Active Directory usando o PowerShell?

Etapas para obter relatórios de auditoria usando o PowerShell:

• Usando o cmdlet Get-WinEvent, os logs de segurança básicos podem ser auditados. Um evento específico pode ser auditado usando o ID do evento.

  Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | fl

• Detalhes básicos adicionais, como hora e nome de usuário, podem ser recuperados usando o script abaixo.

  Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | Select TimeCreated,@{n="WHO";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.'#text'}}},@{n="User Account";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SamAccountName"}| %{$_.'#text'}}} |fl

   Copiado
  Clique para copiar o script inteiro

Para obter o relatório,

Os logs de segurança incluem vários eventos, como modificações de arquivos ou objetos do AD, falhas de logon ou logoff da conta, alterações de permissão.

• Faça login no console da web do ADAudit Plus.
• Vá para a guia Relatórios. Todos os relatórios relativos ao Active Directory estão prontamente disponíveis. Esta guia oferece vários relatórios de eventos. Você pode usar filtros de pesquisa para encontrar um evento específico no relatório.
• Selecione o relatório e o domínio.
• Selecione Exportar como para exportar o relatório em qualquer um dos formatos preferidos (CSV, PDF, HTML, CSVDE e XLSX).

capturas de tela: