Como obter relatórios do Azure AD usando o PowerShell?

Os logs de auditoria (operações) e os logs de entrada (dados de autenticação) do Azure Active Directory ajudam-no a rastrear todas as alterações e qualquer atividade de entrada realizada no Azure AD. Você pode recuperar os mesmos dados usando os cmdlets do Azure AD PowerShell para relatórios. Como alternativa, você pode usar uma solução abrangente de auditoria do AD como o ADAudit Plus, que simplificará as coisas para você.

Este artigo compara o método de obtenção de logs de login e auditoria do Azure AD usando o Windows PowerShell e o ADAudit Plus.

Windows PowerShell

Etapas para monitorar a auditoria do Azure AD e os logs de entrada usando o PowerShell:

  • Para recuperar logs de auditoria no Azure AD, podemos usar o cmdlet Get-AzureADAuditDirectoryLogs.
  • Os logs de auditoria podem ser recuperados com base em parâmetros como datas, usuários, aplicativos ou logs contendo um recurso específico. 
    PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
    PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
    PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
    PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
  • Para obter relatórios sobre logs de entrada no Azure AD, o cmdlet Get-AzureADAuditSignInLogs é usado.
  • Parâmetros semelhantes como data, usuário, local e log com um determinado status podem ser recuperados. 
    PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
    PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
    PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
    PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"
    PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"

ADAudit Plus

Para obter o relatório,

  • Faça login no console da web do ADAudit Plus.
  • Vá para a guia Relatórios > Azure AD > Relatórios de logon de usuário.
  • Em Relatórios de logon de usuário, você encontrará os relatórios mencionados abaixo:
    • Atividade de logon
    • Falhas de logon
    • Falhas de logon devido à senha incorreta
    • Atividade de logon por endereço IP
    • Atividade de logon híbrido
    • Atividade de logon por aplicativos. Cada um desses relatórios pode ser filtrado conforme sua necessidade.
  • Selecione o domínio.
  • Selecione Exportar como para exportar o relatório em qualquer um dos formatos preferidos (CSV, PDF, HTML, CSVDE e XLSX).

Captura de tela:

azure-ad-reports-powershell-1

A seguir estão as limitações do uso do Windows PowerShell para gerar logs de auditoria e entrada do Azure AD:

  • Podemos executar o script acima apenas em computadores que tenham a função de Serviços de Domínio do Active Directory.
  • Para alterar formatos de data e aplicar diferentes fusos horários nos resultados de data, o script deve ser modificado ou criado a cada vez.
  • É difícil exportar o relatório em outros formatos.
  • A aplicação de mais filtros, como "Durante o horário comercial", "Período" e "Exportar como", aumentará a complexidade da consulta LDAP.

O ADAudit Plus, por outro lado, vai gerar relatórios rapidamente verificando todos os DCs e esses relatórios podem ser exportados em vários formatos.

  • Evite scripts complexos do PowerShell e simplifique a auditoria de alterações do AD com ADAudit Plus.
  • Ücretsiz Denemenizi Alın

Recursos relacionados

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.