Como acessar logs de eventos de segurança com o PowerShell e com o ADAudit Plus

Get-EventLog é um comando do PowerShell usado para recuperar logs de eventos de um computador local ou remoto. Ele usa vários parâmetros e valores de propriedades para coletar eventos específicos. Por exemplo o parâmetro "-list", quando adicionado ao cmdlet Get-EventLog, exibe os logs disponíveis na forma de uma lista. O parâmetro "ComputerName" especifica de qual computador remoto coletar logs. Este método exigiria que você especificasse vários parâmetros para exibir os eventos desejados e é demorado.

O ADAudit Plus oferece uma visão abrangente de seus logs de eventos com apenas alguns cliques. A comparação abaixo explica o procedimento de recuperação de logs de eventos de segurança usando o PowerShell e o ADAudit Plus. Além de uma variedade de relatórios detalhados, você também tem uma poderosa funcionalidade de pesquisa para identificar eventos específicos, facilitando o rastreamento de comportamentos anômalos.

Windows PowerShell

Etapas para recuperar eventos de segurança no Windows PowerShell

  • Defina o cmdlet Get-eventlog para recuperar logs de eventos. Um parâmetro deste cmdlet é "-list" que quando especificado busca a lista de logs de eventos disponíveis localmente.
  • Defina qual log deseja recuperar especificamente; neste caso, o log de segurança. Não especificar esse parâmetro obteria todos os eventos de log de vários logs.
  • Defina a data e o horário dos logs
  • Execute o script.

Código para recuperar logs de segurança

$date = (get-date).adddays(-1) get-eventlog security | where \{$_.timewritten -gt $date\} | out-file c:\security.txt
 Copiado
Clique para copiar o script inteiro

ADAudit Plus

Etapas para recuperar eventos de segurança no ADAudit Plus

  • Os logs de segurança incluem vários eventos, como modificações de arquivos ou objetos do AD, falhas de logon ou logoff da conta, alterações de permissão. Faça login no console da web do ADAudit Plus usando credenciais de administrador.
  • Você pode navegar até a guia "Relatórios" e visualizar os relatórios de "Logon do usuário" e "Logon/Logoff local". Essas guias oferecem vários relatórios de eventos. Você pode usar filtros de pesquisa para encontrar um evento específico no relatório.
  • Você também pode navegar pelas guias "Auditoria de arquivo" e "Auditoria de servidor" para verificar modificações de arquivo ou "Alterações de permissão de pasta".

Capturas de tela:

powershell-security-log-audit-1
powershell-security-log-audit-2
powershell-security-log-audit-3

Por que o ADAudit Plus é a melhor solução para você?

  • Relatórios detalhados de atividades de logon que permitem observar de perto a atividade do usuário.
  • Crie relatórios personalizados e receba alertas em tempo real.
  • Lista uma variedade de relatórios pré-configurados para que você possa acompanhar alterações em objetos do AD
  • O ADAudit Plus permite exportar relatórios no formato desejado com um único clique facilmente.
  • Opções avançadas de filtro para evitar o trabalho de criar consultas LDAP complexas.
  • Evite scripts complexos do PowerShell e simplifique a auditoria de alterações do AD com ADAudit Plus.
  • Ücretsiz Denemenizi Alın

Recursos relacionados

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.