Como acessar logs de eventos de segurança

Os administradores de TI precisam recuperar eventos de segurança por tipo, filtrá-los por propriedades e relatar as descobertas. Isso permite que eles fiquem atentos às atividades maliciosas e garantam que o Active Directory esteja funcionando conforme o esperado.

Este artigo compara como os administradores de TI podem obter a lista de logs de eventos de segurança usando o PowerShell e o ADAudit Plus.

Windows PowerShell

Etapas para obter a lista de logs de eventos de segurança.

  • Identifique o domínio do qual você deseja recuperar o relatório.
  • Identifique os atributos LDAP necessários para buscar o relatório.
  • Identifique o DC primário para recuperar o relatório.
  • Compile o script.
  • Execute-o no Windows PowerShell.

Exemplo de script do Windows PowerShell

get-eventlog security

Fornecerá a lista de todos os logs de segurança

get-eventlog security -newest 50

Fornecerá a lista dos 50 logs de eventos de segurança mais recentes.

get-eventlog security -newest 100 | where \{$_.entrytype -eq ` "FailureAudit"\}

Isso fornece os 100 logs de eventos de segurança mais recentes relativos a falhas de eventos.

Saída da amostra:

powershell-getevent-log-security-1

ADAudit Plus

Para obter o relatório,

  • Faça login no console web do ADAudit Plus como administrador.
  • Navegue até a guia "Relatórios" para visualizar mais de 20 categorias de relatórios diferentes no painel esquerdo.
  • Em cada uma dessas categorias, você encontrará uma infinidade de relatórios organizados de forma lógica.
  • Para visualizar um relatório específico, basta navegar até o relatório ou usar "/" para pesquisar relatórios usando palavras-chave.
  • Por exemplo, para visualizar um relatório sobre falhas de logon, navegue até Relatórios -> Relatórios de logon de usuário -> Falhas de logon
  • Você pode usar a opção Exportar como para exportar o relatório em qualquer formato preferido (CSV, PDF, HTML, CSVDE e XLSX).
powershell-getevent-log-security-2

A seguir estão as limitações para obter um relatório do último logon em estações de trabalho usando ferramentas nativas como o Windows PowerShell:

  • O script pode ser executado somente em computadores que tenham a função de serviços de domínio do Active Directory.
  • É difícil alterar formatos de data e aplicar diferentes fusos horários nos resultados da data.
  • Caso precise relatar as descobertas em um formato de arquivo diferente, você terá que escrever um script diferente.
  • Aplicar mais filtros como UO ou "Nome de usuário começa com" aumentará a complexidade da consulta LDAP.
  • Não relata as descobertas em um formato intuitivo ou interativo. Ele lista apenas as informações solicitadas e não há opção de navegar em detalhes mais sutis.

O ADAudit Plus vai gerar os relatórios de sua escolha quando você precisar deles. Você pode executar esses relatórios navegando até a área correta da solução. Com apenas alguns cliques, você pode ver todas as informações necessárias relacionadas ao log de segurança, juntamente com gráficos e tabelas intuitivos.

  • Evite scripts complexos do PowerShell e simplifique a auditoria de alterações do AD com ADAudit Plus.
  • Ücretsiz Denemenizi Alın

Recursos relacionados

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.