Wie rufen Sie Azure-AD-Berichte mit PowerShell ab?
Azure-Active-Directory-Überwachungsprotokolle (Operationen) und Anmeldungsprotokolle (Authentifizierungsdaten) helfen Ihnen, sämtliche Veränderungen und Anmeldungsaktivitäten in Azure AD zu verfolgen. Diese Daten können Sie mit Azure-AD-PowerShell-CMDlets zu Berichtszwecken abrufen. Alternativ können Sie eine leistungsstarke AD-Überwachungslösung wie ADAudit Plus einsetzen, die Ihnen die Dinge deutlich erleichtert.
Dieser Artikel vergleicht die Verfahren zum Abrufen von Azure-AD-Überwachungsprotokolldaten und -Anmeldungsprotokollen mit Windows PowerShell und ADAudit Plus.
Windows PowerShell
Schritte zum Auditieren/Überwachen von Azure-AD-Überwachungs- und -Anmeldungsprotokollen mit PowerShell:
- Zum Abrufen von Überwachungsprotokollen in Azure AD können Sie das Get-AzureADAuditDirectoryLogs-CMDlet verwenden.
- Überwachungsprotokolle/Auditprotokolle können anhand bestimmter Parameter wie Datum, Benutzer, Anwendungen oder bestimmten enthaltenen Ressourcen abgerufen werden.
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
- Zum Abruf von Azure-AD-Anmeldungsprotokollen verwenden Sie das Get-AzureADAuditSignInLogs-CMDlet.
- Zum Eingrenzen der abgerufenen Daten können Sie ähnliche Parameter wie Datum, Benutzer, Standort oder Protokolleinträge mit einem bestimmten Status nutzen.
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"
ADAudit Plus
Bericht abrufen:
- Melden Sie sich an der ADAudit-Plus-Webkonsole an.
- Wechseln Sie zum Berichte-Register > Azure-AD-Register > Benutzeranmeldungsberichte.
- Unter den Benutzeranmeldungsberichten finden Sie die folgenden Berichte:
- Anmeldungsaktivitäten
- Anmeldungsfehlschläge
- Anmeldungsfehlschläge wegen falschem Kennwort
- Anmeldungsaktivitäten nach IP-Adresse
- Hybridanmeldungsaktivitäten
- Anmeldungsaktivitäten nach Anwendungen.Sämtliche Berichte können nach Bedarf noch weiter gefiltert werden.
- Wählen Sie die Domäne.
- Wählen Sie „Exportieren als“ zum Exportieren des Berichtes im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX).
Bildschirmabbildung
Nachstehend die Beschränkungen, mit denen Sie beim Einsatz von Windows PowerShell zum Erstellen von Azure-AD-Überwachungsprotokollen und -Anmeldungsprotokollen zu kämpfen haben:
- Das obige Skript lässt sich nur mit Computern ausführen, die über die passende Active-Directory-Domänendienste-Rolle verfügen.
- Zum Ändern von Datumsformaten und zum Anwenden unterschiedlicher Zeitzonen auf die Ergebnisse muss das Skript jedes Mal entsprechend verändert oder gänzlich neu geschrieben werden.
- Der Bericht lässt sich nur schwerlich in anderen Formaten exportieren.
- Die Anwendung weiterer Filter wie „Während Geschäftszeiten“, „Zeitraum“ und „Exportieren als“ verkompliziert die LDAP-Abfrage noch weiter.
ADAudit Plus dagegen erzeugt durch Scannen sämtlicher Domänencontroller passende Berichte im Handumdrehen, die gleich in mehreren Formaten exportiert werden können.
