Como monitorar o log de eventos usando o PowerShell e o ADAudit Plus
O monitoramento dos logs de eventos é essencial para obter uma visão completa do ambiente de TI da sua organização. Os logs de eventos fornecem diversas informações sobre alterações de acesso a arquivos, eventos administrativos, atividades de logon e assim por diante. Rastrear e registrar eventos críticos que ocorrem na rede de uma organização é fundamental para satisfazer as análises de segurança e os requisitos de conformidade de TI.
A seguir está uma comparação entre os procedimentos de monitoramento de logs de eventos usando o Windows PowerShell e o ADAudit Plus:
PowerShell
Etapas para monitorar o log de eventos usando o PowerShell:
- Defina o domínio do qual você deseja coletar os logs de eventos.
- Encontre os atributos LDAP necessários para buscar os logs.
- Compile o script.
- Execute-o no Windows PowerShell
- Os logs de eventos coletados serão exportados no formato especificado.
- Para exportar os logs em um formato de arquivo diferente, modifique o script adequadamente.
Exemplo de script do Windows PowerShell
O cmdlet a seguir obtém eventos do computador local e os salva no formato .html.
Get-EventLog -ReportType HTML -Path 'Mention the location where report needs to be saved, For Eg: C:\EventLogReports\Report1.html'
Para buscar logs de eventos de um computador remoto, especifique o nome do computador.
Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Path "Mention the location where report needs to be saved, For Eg: C:\remoteLogReports\Report1.html"
Para salvar os relatórios no formato xml, substitua HTML por XML nos cmdlets acima.
O script pode ser alterado para gerar relatórios com outros parâmetros, como -Before, -After (para obter relatórios antes e depois de uma data e hora específicas, respectivamente), -EntryType (este parâmetro retorna logs com base no status do evento, como aviso, erro, informações, sucesso da auditoria ou falha na auditoria) e assim por diante.
ADAudit Plus
Para obter o relatório,
O ADAudit Plus analisa todos os eventos de segurança do ambiente Windows e os apresenta na forma de relatórios intuitivos para uma análise perfeita.Para visualizar os relatórios em diferentes categorias, navegue até a guia "Relatórios" no console do ADAudit Plus.
- Selecione o "Domínio" necessário na opção suspensa no canto superior direito.
- Selecione "Exportar como" para exportar o relatório em qualquer um dos formatos preferidos (CSV, PDF, HTML e XLS).
O ADAudit Plus também permite aos usuários gerar relatórios personalizados.
Navegue até "Analytics -> Relatórios personalizados" para criar relatórios personalizados.
A IU autoexplicativa permite aos usuários selecionar parâmetros a serem monitorados e incluídos no relatório.
O relatório criado pelo usuário pode ser acessado clicando no botão "Visualizar relatórios personalizados". O relatório também pode ser exportado em qualquer um dos formatos preferidos (PDF, XLS, HTML e CSV) selecionando a opção "Exportar como".
A seguir estão as limitações para obter relatórios de log de eventos usando ferramentas nativas como o Windows PowerShell:
- Podemos executar este script apenas em computadores que tenham a função de Serviços de Domínio Active Directory.
- Para exportar o relatório em outros formatos, o script precisa ser modificado a cada vez.
- A aplicação de mais filtros aumentará a complexidade da consulta LDAP.
- Compreender dados volumosos de log de eventos para identificar as informações necessárias pode ser complicado.
O ADAudit Plus vai verificar automaticamente todos os DCs no domínio para recuperar dados do log de eventos, gerar o relatório e apresentá-lo em uma interface de usuário simples e intuitiva.
