Comment récupérer les événements des journaux d'événements avec PowerShell et ADAudit Plus ?
La commande cmdlet Get-WinEvent est un descendant de la commande cmdlet originale Get-EventLog. Elle offre en outre la possibilité de récupérer les « journaux des applications » et les « journaux des services ». Il présente également une différence de propriétés par rapport à Get-EventLog. Get-WinEvent vous donne des informations détaillées sur les journaux stockés sur votre système. Cette commande cmdlet vous offre trois moyens de demander vos données à l'aide de :
- FilterXML
- FilterHashtable
- FilterXPath
Malgré les bonnes performances de Get-WinEvent pour récupérer vos données, il est toujours utile de chercher une solution plus rapide, demandant moins d'efforts mais qui fournit également des rapports détaillés sur le journal des événements. ADAudit Plus est l'une de ces solutions, dotée d'une interface facile à utiliser pour identifier les rapports pertinents. Cette solution est dotée d'une fonction de recherche intégrée permettant de retrouver facilement des événements spécifiques. La comparaison suivante montre comment vous pouvez récupérer les journaux d'événements en utilisant PowerShell et ADAudit Plus.
Windows PowerShell
Étapes à suivre pour récupérer les événements des journaux d'événements dans Windows PowerShell
- Exécutez la commande cmdlet Get-WinEvent. Vous obtenez les résultats suivants : « journaux classiques » et « journaux Windows ». Les journaux classiques sont récupérés en premier.
- Indiquez le « nom de l'ordinateur » pour récupérer les journaux à partir de l'hôte local. Vous pouvez également spécifier une propriété « Recordcount » pour recevoir uniquement les journaux qui contiennent des données.
Code:
Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }
Copied
- Collecte de journaux à partir de plusieurs serveurs
Vous pouvez également collecter les journaux de plusieurs serveurs en utilisant une instruction « For Each » qui crée une boucle pour récupérer les journaux de chaque serveur à la fois.
Code:
$S = 'Server01', 'Server02', 'Server03'
ForEach ($Server in $S) {
Get-WinEvent -ListLog Application -ComputerName $Server |
Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName,
@{name='ComputerName'; expression={$Server}} |
Format-Table -AutoSize
}
Copied
Cliquez pour copier tout le script
ADAudit Plus
Étapes pour récupérer les événements des journaux d'événements dans ADAudit Plus
- Connectez-vous à la console web ADAudit Plus en utilisant l'identifiant de l'administrateur. Accédez à l'onglet « Audit du serveur ».
- Cliquez sur « Rapports d’audit de serveur » et choisissez « Événements système ».
Capture d’écran :
Pourquoi ADAudit Plus est la meilleure solution pour vous ?
- Un tableau de bord complet, qui vous permet de corréler les rapports.
- Il vous permet d'exporter les rapports dans le format souhaité (CSV, HTML, XLS, PDF) en un seul clic et en toute simplicité.
- Options de filtrage avancées pour vous éviter de créer des requêtes LDAP complexes.