Como gerar e exportar o relatório de histórico de login de usuário

Para conduzir trilhas de auditoria de usuários, os administradores geralmente desejam saber o histórico de logins de usuários. Isso os ajudará muito a determinar o comportamento do usuário em relação aos logins. Embora essas informações possam ser obtidas usando o Windows PowerShell, escrever, compilar, executar e alterar os scripts para atender a requisitos granulares específicos é um processo trabalhoso.

A solução de auditoria do Active Directory (AD), como o ManageEngine ADAudit Plus, ajudará os administradores a facilitar esse processo, fornecendo relatórios prontos para acesso sobre este e vários outros eventos críticos de segurança. Abaixo está a comparação entre a obtenção de um relatório de histórico de login de um usuário do AD com o Windows PowerShell e com o ADAudit Plus:

PowerShell

Etapas para obter o histórico de login do usuário usando o PowerShell:

• Identifique o domínio do qual você deseja recuperar o relatório.
• Identifique os atributos LDAP necessários para buscar o relatório.
• Identifique o DC primário para recuperar o relatório.
• Compile o script.
• Execute-o no Windows PowerShell.
• O relatório será exportado no formato fornecido.
• Para obter o relatório em um formato diferente, modifique o script.

Exemplo de script do Windows PowerShell

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

	foreach ($e in $slogonevents){
	# Logon Successful Events
	# Local (Logon Type 2)
	if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
		write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
	}
	# Remote (Logon Type 10)
	if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
		write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
	}}

 Copiado

Clique para copiar o script inteiro

ADAudit Plus

Para obter o relatório,

• Faça login no console web do ADAudit Plus como administrador.
• Navegue até a guia Relatórios, clique na seção Relatórios de logon de usuário no painel esquerdo e selecione o relatório Atividade de logon de usuário.
• Selecione o domínio e os objetos específicos que deseja consultar, se houver.
• Selecione Exportar como para exportar o relatório em qualquer um dos formatos preferidos (CSV, PDF, HTML, CSVDE e XLSX).

Captura de tela

 

A seguir estão as limitações para obter o relatório de histórico de login de cada usuário usando ferramentas nativas como o Windows PowerShell:

Isso significa que você precisa coletar informações dos DCs, bem como de estações de trabalho e outros servidores Windows para obter uma visão geral completa de todas as atividades de login e logout em seu ambiente. Este é um processo trabalhoso e mecânico para os administradores de sistema.

O ADAudit Plus gera o relatório de histórico de login do usuário verificando automaticamente todos os DCs no domínio para recuperar os históricos de login dos usuários e exibi-los em uma interface de usuário simples e intuitiva.