Comment récupérer les événements des journaux d'événements avec PowerShell et ADAudit Plus ?

La commande cmdlet Get-WinEvent est un descendant de la commande cmdlet originale Get-EventLog. Elle offre en outre la possibilité de récupérer les « journaux des applications » et les « journaux des services ». Il présente également une différence de propriétés par rapport à Get-EventLog. Get-WinEvent vous donne des informations détaillées sur les journaux stockés sur votre système. Cette commande cmdlet vous offre trois moyens de demander vos données à l'aide de :

  • FilterXML
  • FilterHashtable
  • FilterXPath

Malgré les bonnes performances de Get-WinEvent pour récupérer vos données, il est toujours utile de chercher une solution plus rapide, demandant moins d'efforts mais qui fournit également des rapports détaillés sur le journal des événements. ADAudit Plus est l'une de ces solutions, dotée d'une interface facile à utiliser pour identifier les rapports pertinents. Cette solution est dotée d'une fonction de recherche intégrée permettant de retrouver facilement des événements spécifiques. La comparaison suivante montre comment vous pouvez récupérer les journaux d'événements en utilisant PowerShell et ADAudit Plus.

Windows PowerShell

Étapes à suivre pour récupérer les événements des journaux d'événements dans Windows PowerShell

  • Exécutez la commande cmdlet Get-WinEvent. Vous obtenez les résultats suivants : « journaux classiques » et « journaux Windows ». Les journaux classiques sont récupérés en premier.
  • Indiquez le « nom de l'ordinateur » pour récupérer les journaux à partir de l'hôte local. Vous pouvez également spécifier une propriété « Recordcount » pour recevoir uniquement les journaux qui contiennent des données.
    Code:
    Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }
     Copied
  • Collecte de journaux à partir de plusieurs serveurs
    Vous pouvez également collecter les journaux de plusieurs serveurs en utilisant une instruction « For Each » qui crée une boucle pour récupérer les journaux de chaque serveur à la fois.
    Code:
    $S = 'Server01', 'Server02', 'Server03'
    ForEach ($Server in $S) {
      Get-WinEvent -ListLog Application -ComputerName $Server |
        Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName,
          @{name='ComputerName'; expression={$Server}} |
        Format-Table -AutoSize
    }
    
     Copied
    Cliquez pour copier tout le script

ADAudit Plus

Étapes pour récupérer les événements des journaux d'événements dans ADAudit Plus

  • Connectez-vous à la console web ADAudit Plus en utilisant l'identifiant de l'administrateur. Accédez à l'onglet « Audit du serveur ».
  • Cliquez sur « Rapports d’audit de serveur » et choisissez « Événements système ».

Capture d’écran :

get-winevent-1

Pourquoi ADAudit Plus est la meilleure solution pour vous ?

  • Un tableau de bord complet, qui vous permet de corréler les rapports.
  • Il vous permet d'exporter les rapports dans le format souhaité (CSV, HTML, XLS, PDF) en un seul clic et en toute simplicité.
  • Options de filtrage avancées pour vous éviter de créer des requêtes LDAP complexes.
  • Créez des scripts PowerShell, et simplifiez la vérification des changements AD avec ADAudit Plus.
  •  
  • En cliquant sur « Obtenir votre évaluation gratuite maintenant, », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.
  •  
  • Merci du téléchargement !
  • Votre téléchargement doit commencer automatiquement dans 15 secondes. Sinon, cliquez ici pour télécharger manuellement.