Sådan genererer og eksporterer du en rapport om brugernes loginhistorik

For at få et revisionsspor for brugere vil administratorer ofte gerne kende historikken for brugerlogins. Dette hjælper dem en hel del med at fastlægge brugernes adfærd med hensyn til logins. Selvom disse oplysninger kan hentes med Windows PowerShell, er det omstændeligt at skrive, kompilere, køre og ændre scripts for at opfylde specifikke, detaljerede krav.

En løsning til overvågning af Active Directory (AD) som ManageEngine ADAudit Plus hjælper administratorer med at lette denne proces ved at levere rapporter, der er klar til brug, om denne og forskellige andre kritiske sikkerhedshændelser. Nedenfor ses en sammenligning mellem at hente en AD-brugers loginhistorikrapport med Windows PowerShell og ADAudit Plus:

PowerShell

Trin til at hente brugerloginhistorik med PowerShell:

Fastlæg, hvilket domæne du vil hente rapporten fra.
Identificer de LDAP-attributter, du skal bruge til at hente rapporten.
Fastlæg den primære DC til at hente rapporten.
Kompilér scriptet.
Kør det i Windows PowerShell.
Rapporten vil blive eksporteret i det givne format.
Hvis du vil have rapporten i et andet format, skal du ændre scriptet.

Eksempel på Windows PowerShell-script

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}

Kopieret

Klik for at kopiere hele scriptet

ADAudit Plus

Sådan får du rapporten:

Log ind på ADAudit Plus' webkonsol som administrator.
Gå til fanen Rapporter, klik på afsnittet Brugerloginrapporter i venstre rude, og vælg rapporten Brugerloginaktivitet.
Vælg det domæne og de specifikke objekter, du i givet fald vil forespørge om.
Vælg "Eksportér som" for at eksportere rapporten i et af de foretrukne formater (CSV, PDF, HTML, CSVDE og XLSX).

Skærmbillede

Når indbyggede værktøjer som Windows PowerShell bruges til at hente en rapport med hver brugers loginhistorik, er der følgende begrænsninger:

Alle lokale ind- og udlogningsrelaterede hændelser registreres kun i sikkerhedsloggen på de enkelte computere (arbejdsstationer eller Windows-servere), ikke på domænecontrollerne (DC'erne).
Loginhændelser registreret på domænecontrollere indeholder ikke oplysninger nok til at skelne mellem de forskellige logintyper, nemlig interaktiv, fjerninteraktiv, netværk, batch, tjeneste osv.
Udlogningshændelser registreres ikke på domænecontrollere. Disse oplysninger er vigtige, for at fastlægge hvor længe en bestemt bruger var logget ind.

Det betyder, at du skal indsamle oplysninger fra både domænecontrollere, arbejdsstationer og andre Windows-servere for at få et komplet overblik over al ind- og udlogningsaktivitet i dit miljø. Det er en besværlig og triviel proces for systemadministratorerne.

ADAudit Plus genererer rapporten om brugerloginhistorik ved automatisk at scanne alle domænecontrollere i domænet for at hente brugernes loginhistorik og viser den i et enkelt og intuitivt brugerinterface.