Angebot einholen
Zuhause » Angebot einholen

So erstellen und exportieren Sie einen Benutzeranmeldungsverlauf-Bericht

Wenn Audittrails oder Überwachungspfade zu Benutzern anstehen, müssen Administratoren öfter den Verlauf der Benutzeranmeldungen abrufen. Dies trägt wesentlich zum Abgleich des Benutzerverhaltens mit Anmeldungsaktivitäten bei. Obwohl sich diese Angaben durchaus mit Windows PowerShell abrufen lassen, gestalten sich Skriptentwicklung, -kompilierung, -ausführung und -anpassung an unterschiedlichen Bedarf nicht gerade schnell und einfach.

Active-Directory-Überwachungslösungen wie ManageEngine ADAudit Plus helfen Administratoren mit sofort abrufbaren Berichten, die nötigen Daten zu dieser und vielfältigen weiteren Problemstellungen schnell und einfach an die Hand zu bekommen. Nachstehend ein Vergleich zum Abrufen eines AD-Benutzer-Anmeldungsverlaufes mit Windows PowerShell und ADAudit Plus.

PowerShell

Schritte zum Identifizieren der Computer, an denen ein Benutzer angemeldet ist – mit PowerShell:

  • Identifizieren Sie die Domäne, zu welcher der Bericht abgerufen werden soll.
  • Identifizieren Sie die LDAP-Attribute, die zum Abrufen des Berichtes erforderlich sind.
  • Identifizieren Sie den primären Domänencontroller zum Abruf des Berichtes.
  • Kompilieren Sie das Skript.
  • Führen Sie dieses in Windows PowerShell aus.
  • Der Bericht wird im angegebenen Format exportiert.
  • Wenn Sie den Bericht in einem anderen Format abrufen möchten, müssen Sie das Skript entsprechend ändern.

Windows-PowerShell-Beispielskript

 Copied
# Find DC list from Active Directory                                 $DCs = Get-ADDomainController -Filter *                                  # Define time for report (default is 1 day)                                 $startDate = (get-date).AddDays(-1)                                  # Store successful logon events from security logs with the specified dates and workstation/IP in an array                                 foreach ($DC in $DCs){                                 $slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}                                  # Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely                                  foreach ($e in $slogonevents){                                     # Logon Successful Events                                     # Local (Logon Type 2)                                     if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){                                     write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]                                     }                                     # Remote (Logon Type 10)                                     if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){                                     write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]                                     }}
Zum Kopieren des gesamten Skriptes klicken

ADAudit Plus

Bericht abrufen:

  • Melden Sie sich als Administrator an der ADAudit-Plus-Webkonsole an.
  • Wechseln Sie zum Berichte-Register, klicken Sie auf den Benutzeranmeldungsberichte-Bereich im linken Panel, wählen Sie den Benutzeranmeldungsaktivitäten-Bericht.
  • Wählen Sie die Domäne, bei Bedarf auch spezifische Objekte, die in die Abfrage einfließen sollen.
  • Wählen Sie „Exportieren als“ zum Exportieren des Berichtes im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX).

Bildschirmabbildung

powershell-get-user-login-history

Nachstehend die Beschränkungen, die Ihnen beim Abrufen von Benutzeranmeldungsverläufen mit nativen Werkzeugen wie Windows PowerShell das Leben nicht gerade einfacher machen:

  • Sämtliche lokalen anmeldungs- und abmeldungsbezogenen Ereignisse werden nur im Sicherheitsprotokoll einzelner Computer (Arbeitsstationen oder Windows-Server), nicht in Domänencontrollern (DCs) aufgezeichnet.
  • In DCs aufgezeichnete Anmeldungsereignisse enthalten zu wenig Daten, um erfolgreich zwischen unterschiedlichen Anmeldungstypen (Interaktiv, Remoteinteraktiv, Netzwerk, Batch, Dienst und dergleichen) zu unterscheiden.
  • Abmeldungsereignisse werden nicht in DCs aufgezeichnet. Diese Angabe ist jedoch zum Ermitteln der Anmeldungsdauer bestimmter Benutzer unerlässlich.

Das bedeutet, dass Sie Daten von sämtlichen DCs sowie Arbeitsstationen und anderen Windows-Servern sammeln müssen, um eine vollständige Übersicht über sämtliche Anmeldungs- und Abmeldungsaktivitäten Ihrer Umgebung zu erhalten. Ein arbeitsintensiver und lästiger Prozess, der bei Systemadministratoren nicht sehr hoch im Kurs steht.

ADAudit Plus erzeugt den Bericht durch automatisches Scannen sämtlicher Domänencontroller der Domäne zum Abrufen der Anmeldungsverläufe, zeigt diesen anschließend über eine unkomplizierte und intuitiv bedienbare Oberfläche an.

 
  • PowerShell-Skripte und vereinfachte AD-Änderungsüberwachung mit ADAudit Plus.
  •  
  • Mit einem Klick auf „Kostenlos in Ruhe ausprobieren“ willigen Sie in die Verarbeitung persönlicher Daten gemäß Datenschutzbestimmungen ein.

    • Danke für das Herunterladen!

    Ihr Download sollte in 15 Sekunden automatisch beginnen. Wenn nicht, klicken Sie hier, um es manuell herunterzuladen.

Verwandte Ressourcen