So rufen Sie Sicherheitsereignisprotokolle ab
IT-Administratoren müssen Sicherheitsereignisse nach Typ abrufen, nach Eigenschaften filtern und die Erkenntnisse in Berichte umsetzen. So können Administratoren bösartigen Aktivitäten schnell auf die Spur kommen und gewährleisten, dass Active Directory wie erwartet funktioniert.
Dieser Artikel vergleicht die Möglichkeiten, die IT-Administratoren zum Abruf von Sicherheitsereignisprotokollen mit PowerShell und ADAudit Plus nutzen können.
Windows PowerShell
Schritte zum Abruf eines Sicherheitsereignisprotokolls.
- Identifizieren Sie die Domäne, zu welcher der Bericht abgerufen werden soll.
- Identifizieren Sie die LDAP-Attribute, die zum Abrufen des Berichtes erforderlich sind.
- Identifizieren Sie den primären Domänencontroller zum Abruf des Berichtes.
- Kompilieren Sie das Skript.
- Führen Sie dieses in Windows PowerShell aus.
Windows-PowerShell-Beispielskript
Copied
get-eventlog security
Dies liefert eine Auflistung sämtlicher Sicherheitsprotokolle.
Copied
get-eventlog security -newest 50
Dies liefert eine Auflistung der 50 letzten Sicherheitsereignisprotokolle.
Copied
get-eventlog security -newest 100 | where \{$_.entrytype -eq ` "FailureAudit"\}
Dies liefert die 100 letzten Sicherheitsereignisprotokolle zu Ereignisfehlschlägen.
Beispielausgabe:
ADAudit Plus
Bericht abrufen:
- Melden Sie sich als Administrator an der ADAudit-Plus-Webkonsole an.
- Wechseln Sie zum Berichte-Register – hier finden Sie mehr als 20 unterschiedliche Berichtskategorien.
- In jeder dieser Kategorien gibt es zahlreiche praxisorientierte Berichte, allesamt logisch geordnet.
- Zum Abruf eines bestimmten Berichtes wählen Sie diesen einfach aus. Alternativ können Sie per Eingabe von „/“ auch nach bestimmten Begriffen suchen.
- Wenn Sie beispielsweise einen Bericht zu Anmeldungsfehlschlägen abrufen möchten, wählen Sie Berichte > Benutzeranmeldungsberichte > Anmeldungsfehlschläge.
- Mit der „Exportieren als“-Option können Sie den Bericht gleich im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX) exportieren.
Nachstehend die Beschränkungen, die Ihnen bei Berichten zur letzten Anmeldung an Arbeitsstationen mit nativen Werkzeugen wie Windows PowerShell das Leben erschweren:
- Das Skript kann nur mit Computern ausgeführt werden, die über die passende Active-Directory-Domänendienste-Rolle verfügen.
- Andere Datumsformate und unterschiedliche Zeitzonen lassen sich nur mit Schwierigkeiten auf die Ergebnisse anwenden.
- Falls Sie die Ergebnisse in einem anderen Dateiformat ausgeben möchten, müssen Sie ein anderes Skript verfassen.
- Die Anwendung weiterer Filter wie Organisationseinheit oder „Benutzername beginnt mit“ steigert die Komplexität der LDAP-Abfrage.
- Ergebnisse werden nicht in intuitiven oder interaktiven Formaten dargestellt. Lediglich die angefragten Informationen werden ausgegeben, es gibt keine Möglichkeit, weiter in die Tiefe vorzudringen.
ADAudit Plus erzeugt die Berichte Ihrer Wahl ganz nach Bedarf. Sie können die Berichte einfach in den jeweiligen Bereichen der Lösung abrufen. Mit nur wenigen Klicks können Sie sämtliche benötigten Informationen rund um Sicherheitsprotokolle mitsamt intuitiv verständlichen Diagrammen und Tabellen abrufen.