ADAudit Plus »

Sådan får du brugernes loginhistorik i Active Directory

Det er vigtigt at se og analysere brugernes loginhistorik, da det hjælper med at forudsige loginmønstre og gennemføre overvågningsspor. Du kan få brugerens loginhistorik med Windows PowerShell. Alternativt kan du bruge en omfattende AD-overvågningsløsning som ADAudit Plus, der gør det nemt for dig.

Denne artikel sammenligner indhentning af brugerloginhistorik med Windows PowerShell og ADAudit Plus.

PowerShell

Skridt til at få brugernes loginhistorik:

  • Fastlæg, hvilket domæne du vil hente rapporten fra.
  • Fastlæg den primære DC til at hente rapporten.
  • Kompilér scriptet.
  • Udfør det i Windows PowerShell
  • Hvis du vil eksportere rapporten i et bestemt filformat, skal du tilpasse cmdletten efter behov.

Eksempel på Windows PowerShell-script

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *
 
# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
 
# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}
 
# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely
 
 foreach ($e in $slogonevents){
 # Logon Successful Events
 # Local (Logon Type 2)
 if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
 write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
 }
 # Remote (Logon Type 10)
 if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
 write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
 }}
 Kopieret
Klik for at kopiere hele scriptet

ADAudit Plus

Sådan får du rapporten:

  • Log ind på ADAudit Plus-webkonsollen.
  • Naviger til fanen Rapporter -> afsnittet Lokal ind- og udlogning -> Rapport om loginaktivitet.
  • I feltet Domæne øverst til højre skal du enten vælge det ønskede domæne eller vælge "Alle domæner".
  • Brug funktionen "Søg" til at filtrere efter specifikke brugernavne eller domænecontrollere efter behov.
  • Hent hele loginhistorikken for brugere i en ønsket periode.
    active-directory-bruger-indlogning-udlogning-rapport-powershell-1
  • Eksportér rapporten i et ønsket format: CSV, PDF, XLS eller HTML.

Når PowerShell bruges til at hente brugerloginhistorik, er der følgende begrænsninger:

  • Vi kan kun køre ovenstående script fra de computere, der har rollen Active Directory-domæneservices.
  • Hvis du vil ændre datoformat og anvende forskellige tidszoner på datoresultaterne, skal scriptet ændres eller oprettes hver gang.
  • Det er svært at eksportere rapporten i andre formater.
  • Hvis du anvender flere filtre som "I kontortiden", "Periode" og "Eksportér som", bliver LDAP-forespørgslen mere kompleks.

På den anden side vil ADAudit Plus hurtigt scanne alle DC'er i domænet og give dig hele historikken over brugernes login i en intuitiv rapport.

  • Undgå kompleks PowerShell-scripting, og forenkl AD-ændringsovervågning med ADAudit Plus.
  •  
  • Ved at klikke på 'Få din gratis prøveperiode', accepterer du behandling af personlige data i henhold til Privacy Policy.

    • Tak for det!

    Din download er i gang, og den vil være færdig om få sekunder! Hvis du oplever problemer, kan du downloade manuelt her.

Relaterede ressourcer