Sådan henter du den sidst ændrede fil i en mappe med PowerShell og ADAudit Plus

Løbende overvågning af filændringer er afgørende for at holde styr på uautoriserede ændringer og identificere unormale filadgange. IT-administratorer skal holde styr på alle ændringer, der foretages i kritiske filer, ikke kun for at opfylde overholdelseskrav, men også for at beskytte sig mod eksterne og interne databrud

Det følgende er en sammenligning mellem procedurerne for at hente den sidst ændrede fil i Windows-filserveren med PowerShell og ADAudit Plus.

PowerShell

Sådan henter du den sidst ændrede fil i en mappe med PowerShell

Fastlæg, hvilket domæne du vil hente rapporten fra.
Identificer de LDAP-attributter, du skal bruge til at hente rapporten.
Fastlæg den primære DC til at hente rapporten.
Kompilér scriptet.
Udfør det i Windows PowerShell
Rapporten eksporteres i det angivne format.
Hvis du vil have rapporten i et andet format, skal du ændre scriptet.

Eksempel på Windows PowerShell-script

Følgende script henter navnet på de filer og tilhørende undermapper, der er blevet ændret i mappen 'Logs' inden for den seneste '1' dag, sammen med tidspunktet for ændringen af filerne.

$path="C:\Windows\Temp" $NoOfDirs=Get-ChildItem $path | Where-Object {$_.PSIsContainer -eq $True} ForEach($dir in $NoOfDirs ) { Get-ChildItem "$path\$($dir.name)" -Recurse | Where-Object {($_.LastWriteTime -gt ([DateTime]::Now.Adddays(-1))) -and ($_.PSIsContainer -eq $False) } | Select-Object @{l='Folder';e={$dir.Name}},Name,LastWriteTime | Sort-Object -pro LastWriteTime -Descending | Select -First 1 } Out-File -FilePath C:\Windows\Logs\Report1.html

Kopieret

Klik for at kopiere hele scriptet

(Angiv, hvor rapporten skal gemmes.)

For at hente de filer, der sidst blev ændret i en anden mappe, skal du angive den relevante mappesti i scriptet.

$path="Desired folder path"

Rapporten kan hentes i .csv- eller .txt-format ved at ændre det i scriptet.

Out-File -FilePath C:\Windows\Logs\Report1.csv

Prøve output:

powershell-get-last-modified-file-in-directory-4

ADAudit Plus

Trin til at hente den sidst ændrede fil i en mappe med ADAudit Plus

Navigér til Filovervågning -> Filovervågningsrapporter -> Filer ændret.
Vælg det ønskede domæne i rullemenuen øverst til højre.
Vælg "Eksportér som" for at eksportere rapporten i et af de foretrukne formater (CSV, PDF, HTML og XLS).

powershell-get-last-modified-file-in-directory-1

powershell-get-last-modified-file-in-directory-2

powershell-get-last-modified-file-in-directory-3

Ud over filens navn og tidspunktet for ændringen er følgende nogle af de oplysninger, som AD Audit Plus har angivet:

Hvem der har ændret filen.
Domæne og server, hvor filen er placeret.
Filtype.
Klient-IP og maskinnavn.
Type af adgang.

Her er nogle begrænsninger for at hente en rapport om den sidst ændrede fil ved hjælp af native værktøjer som Windows PowerShell:

Vi kan kun køre dette script fra computere, der har rollen Active Directory-domæneservices.
For at overvåge den sidst ændrede fil i forskellige mapper skal PowerShell-koden udføres hver gang. Det er praktisk talt umuligt at ændre mappestien hver gang, når man overvåger hundredvis (eller flere) mapper i et domæne.
Hvis du anvender flere filtre, bliver LDAP-forespørgslen mere kompleks.
Hvis du vil eksportere rapporten i andre formater, skal scriptet ændres hver gang.
Det kan være besværligt at hente rapporter i forskellige datoformater og tidszoner.

ADAudit Plus scanner automatisk alle domænecontrollere i domænet for at hente oplysninger om den sidst ændrede fil, genererer rapporten og præsenterer den i et enkelt og intuitivt brugerinterface.