So rufen Sie Sicherheitsereignisprotokolle ab

IT-Administratoren müssen Sicherheitsereignisse nach Typ abrufen, nach Eigenschaften filtern und die Erkenntnisse in Berichte umsetzen. So können Administratoren bösartigen Aktivitäten schnell auf die Spur kommen und gewährleisten, dass Active Directory wie erwartet funktioniert.

Dieser Artikel vergleicht die Möglichkeiten, die IT-Administratoren zum Abruf von Sicherheitsereignisprotokollen mit PowerShell und ADAudit Plus nutzen können.

Windows PowerShell

Schritte zum Abruf eines Sicherheitsereignisprotokolls.

  • Identifizieren Sie die Domäne, zu welcher der Bericht abgerufen werden soll.
  • Identifizieren Sie die LDAP-Attribute, die zum Abrufen des Berichtes erforderlich sind.
  • Identifizieren Sie den primären Domänencontroller zum Abruf des Berichtes.
  • Kompilieren Sie das Skript.
  • Führen Sie dieses in Windows PowerShell aus.

Windows-PowerShell-Beispielskript

 Copied
get-eventlog security

Dies liefert eine Auflistung sämtlicher Sicherheitsprotokolle.

 Copied
get-eventlog security -newest 50

Dies liefert eine Auflistung der 50 letzten Sicherheitsereignisprotokolle.

 Copied
get-eventlog security -newest 100 | where \{$_.entrytype -eq ` "FailureAudit"\}

Dies liefert die 100 letzten Sicherheitsereignisprotokolle zu Ereignisfehlschlägen.

Beispielausgabe:

powershell-getevent-log-security-1

ADAudit Plus

Bericht abrufen:

  • Melden Sie sich als Administrator an der ADAudit-Plus-Webkonsole an.
  • Wechseln Sie zum Berichte-Register – hier finden Sie mehr als 20 unterschiedliche Berichtskategorien.
  • In jeder dieser Kategorien gibt es zahlreiche praxisorientierte Berichte, allesamt logisch geordnet.
  • Zum Abruf eines bestimmten Berichtes wählen Sie diesen einfach aus. Alternativ können Sie per Eingabe von „/“ auch nach bestimmten Begriffen suchen.
  • Wenn Sie beispielsweise einen Bericht zu Anmeldungsfehlschlägen abrufen möchten, wählen Sie Berichte > Benutzeranmeldungsberichte > Anmeldungsfehlschläge.
  • Mit der „Exportieren als“-Option können Sie den Bericht gleich im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX) exportieren.
powershell-getevent-log-security-2

Nachstehend die Beschränkungen, die Ihnen bei Berichten zur letzten Anmeldung an Arbeitsstationen mit nativen Werkzeugen wie Windows PowerShell das Leben erschweren:

  • Das Skript kann nur mit Computern ausgeführt werden, die über die passende Active-Directory-Domänendienste-Rolle verfügen.
  • Andere Datumsformate und unterschiedliche Zeitzonen lassen sich nur mit Schwierigkeiten auf die Ergebnisse anwenden.
  • Falls Sie die Ergebnisse in einem anderen Dateiformat ausgeben möchten, müssen Sie ein anderes Skript verfassen.
  • Die Anwendung weiterer Filter wie Organisationseinheit oder „Benutzername beginnt mit“ steigert die Komplexität der LDAP-Abfrage.
  • Ergebnisse werden nicht in intuitiven oder interaktiven Formaten dargestellt. Lediglich die angefragten Informationen werden ausgegeben, es gibt keine Möglichkeit, weiter in die Tiefe vorzudringen.

ADAudit Plus erzeugt die Berichte Ihrer Wahl ganz nach Bedarf. Sie können die Berichte einfach in den jeweiligen Bereichen der Lösung abrufen. Mit nur wenigen Klicks können Sie sämtliche benötigten Informationen rund um Sicherheitsprotokolle mitsamt intuitiv verständlichen Diagrammen und Tabellen abrufen.

  • PowerShell-Skripte und vereinfachte AD-Änderungsüberwachung mit ADAudit Plus.
  •  
  • Mit einem Klick auf „Kostenlos in Ruhe ausprobieren“ willigen Sie in die Verarbeitung persönlicher Daten gemäß Datenschutzbestimmungen ein.
  • Danke für das Herunterladen!

    Ihr Download sollte in 15 Sekunden automatisch beginnen. Wenn nicht, klicken Sie hier, um es manuell herunterzuladen.

Verwandte Ressourcen