Sådan overvåger du Windows hændelseslogfiler med PowerShell og ADAudit Plus

Overvågning af hændelseslogfiler er afgørende for at få et fuldstændigt billede af din organisations IT-miljø. Hændelseslogfiler giver et væld af oplysninger om ændringer i filadgang, administrative hændelser, logonaktivitet og så videre. Sporing og registrering af kritiske hændelser, der opstår i en organisations netværk, er afgørende for at opfylde sikkerhedsgennemgange og IT-overholdelseskrav.

Det følgende er en sammenligning mellem procedurerne til at overvåge hændelseslogfiler med Windows PowerShell og ADAudit Plus:

PowerShell

Sådan overvåger du hændelseslogfilen med PowerShell:

Definer det domæne, du vil hente hændelseslogfiler fra.
Identificer de LDAP-attributter, du skal bruge til at hente logfilerne.
Kompilér scriptet.
Udfør det i Windows PowerShell
De indsamlede hændelseslogfiler eksporteres i det angivne format.
Hvis du vil eksportere logfilerne i et andet filformat, skal du ændre scriptet i overensstemmelse hermed.

Eksempel på Windows PowerShell-script

Følgende cmdlet henter hændelser fra den lokale computer og gemmer dem i .html-format.

Get-EventLog -ReportType HTML -Path 'Angiv den placering, hvor rapporten skal gemmes, f.eks.: C:\EventLogReports\Report1.html'

For at hente hændelseslogfiler fra en fjerncomputer skal du angive computernavnet.

Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Path "Angiv den placering, hvor rapporten skal gemmes, f.eks.: C:\remoteLogReports\Report1.html"

For at gemme rapporterne i xml-format skal du erstatte HTML med XML i ovenstående cmdlets.

Scriptet kan ændres til at generere rapporter med andre parametre såsom -Før, -Efter (For at få rapporter før og efter en bestemt dato og et bestemt tidspunkt), -EntryType (Denne parameter returnerer logfiler baseret på hændelsesstatus såsom advarsel, fejl, information, overvågningssucces eller overvågningsfejl) og så videre.

ADAudit Plus

Sådan får du rapporten:

ADAudit Plus analyserer alle sikkerhedshændelser i Windows-miljøet og præsenterer dem i form af intuitive rapporter til problemfri analyse.

For at se rapporterne under forskellige kategorier skal du navigere til fanen Rapporter i ADAudit Plus-konsollen.

Vælg det ønskede domæne i rullemenuen øverst til højre.
Vælg "Eksportér som" for at eksportere rapporten i et af de foretrukne formater (CSV, PDF, HTML og XLS).

ADAudit Plus giver også brugerne mulighed for at generere brugerdefinerede rapporter.
Naviger til Analyse -> Brugerdefinerede rapporter for at oprette brugerdefinerede rapporter.

Den selvforklarende brugergrænseflade giver brugerne mulighed for at vælge parametre, der skal overvåges og inkluderes i rapporten.

Den rapport, som brugeren har oprettet, kan tilgås ved at klikke på knappen "Vis brugerdefinerede rapporter". Rapporten kan også eksporteres i et hvilket som helst af de foretrukne formater (PDF, XLS, HTML og CSV) ved at vælge "Eksporter som".

Følgende er begrænsningerne for at hente rapporter fra Eventlog ved hjælp af native værktøjer som Windows PowerShell:

Vi kan kun køre dette script fra computere, der har rollen Active Directory-domæneservices.
Hvis du vil eksportere rapporten i andre formater, skal scriptet ændres hver gang.
Hvis du anvender flere filtre, bliver LDAP-forespørgslen mere kompleks.
Det kan være besværligt at forstå omfangsrige hændelseslogdata for at identificere nødvendige oplysninger.

ADAudit Plus scanner automatisk alle domænecontrollere i domænet for at hente data fra Eventlog, genererer rapporten og præsenterer den i et enkelt og intuitivt brugergrænseflade.