Comment récupérer les événements des journaux d'événements avec PowerShell et ADAudit Plus ?
La commande cmdlet Get-WinEvent est un descendant de la commande cmdlet originale Get-EventLog. Elle offre en outre la possibilité de récupérer les « journaux des applications » et les « journaux des services ». Il présente également une différence de propriétés par rapport à Get-EventLog. Get-WinEvent vous donne des informations détaillées sur les journaux stockés sur votre système. Cette commande cmdlet vous offre trois moyens de demander vos données à l'aide de :
- FilterXML
- FilterHashtable
- FilterXPath
Malgré les bonnes performances de Get-WinEvent pour récupérer vos données, il est toujours utile de chercher une solution plus rapide, demandant moins d'efforts mais qui fournit également des rapports détaillés sur le journal des événements. ADAudit Plus est l'une de ces solutions, dotée d'une interface facile à utiliser pour identifier les rapports pertinents. Cette solution est dotée d'une fonction de recherche intégrée permettant de retrouver facilement des événements spécifiques. La comparaison suivante montre comment vous pouvez récupérer les journaux d'événements en utilisant PowerShell et ADAudit Plus.
Windows PowerShell
Étapes à suivre pour récupérer les événements des journaux d'événements dans Windows PowerShell
- Exécutez la commande cmdlet Get-WinEvent. Vous obtenez les résultats suivants : « journaux classiques » et « journaux Windows ». Les journaux classiques sont récupérés en premier.
- Indiquez le « nom de l'ordinateur » pour récupérer les journaux à partir de l'hôte local. Vous pouvez également spécifier une propriété « Recordcount » pour recevoir uniquement les journaux qui contiennent des données.
Code:Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }Copied - Collecte de journaux à partir de plusieurs serveurs
Vous pouvez également collecter les journaux de plusieurs serveurs en utilisant une instruction « For Each » qui crée une boucle pour récupérer les journaux de chaque serveur à la fois.
Code:Cliquez pour copier tout le script$S = 'Server01', 'Server02', 'Server03' ForEach ($Server in $S) { Get-WinEvent -ListLog Application -ComputerName $Server | Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName, @{name='ComputerName'; expression={$Server}} | Format-Table -AutoSize }Copied
ADAudit Plus
Étapes pour récupérer les événements des journaux d'événements dans ADAudit Plus
- Connectez-vous à la console web ADAudit Plus en utilisant l'identifiant de l'administrateur. Accédez à l'onglet « Audit du serveur ».
- Cliquez sur « Rapports d’audit de serveur » et choisissez « Événements système ».
Capture d’écran :
Pourquoi ADAudit Plus est la meilleure solution pour vous ?
- Un tableau de bord complet, qui vous permet de corréler les rapports.
- Il vous permet d'exporter les rapports dans le format souhaité (CSV, HTML, XLS, PDF) en un seul clic et en toute simplicité.
- Options de filtrage avancées pour vous éviter de créer des requêtes LDAP complexes.
Ressources connexes:
Connexion-déconnexion
- Comment obtenir l'utilisateur actuellement connecté sur PowerShell
- Comment savoir sur quel ordinateur un utilisateur est connecté ?
- Comment voir à distance quels utilisateurs sont connectés à Windows ?
- Comment obtenir l'utilisateur connecté actuel
- Comment obtenir l'historique des connexions d'un utilisateur à l'aide de PowerShell
- Obtenir les identifiants du serveur Terminal
- Obtenir un rapport d'audit sur les activités de connexion et de déconnexion d'un compte d'utilisateur AD
- Comment obtenir les échecs des tentatives de connexion en utilisant powershell
- Get-rdusersession
- Comment obtenir le dernier utilisateur connecté sur un ordinateur distant à l'aide de Powershell ?
- Comment trouver l'ordinateur sur lequel un utilisateur s'est connecté à l'aide de powershell ?
- Comment obtenir la dernière connexion d'un utilisateur à l'aide de Powershell ?
- Comment déployer des services de bureau à distance à l'aide de Powershell ?
Blocage des comptes
- Afficher l'historique du verrouillage des comptes d'utilisateurs Active Directory
- Comment trouver des comptes d'utilisateurs verrouillés
- Comment trouver la source du blocage de compte
- Recherche de comptes verrouillés dans Active Directory
- Comment trouver la raison du blocage d'un compte à l'aide de Powershell ?
Journaux d'événements Windows
- Comment vérifier les journaux d'événements de Windows
- Comment auditer les journaux de sécurité à l'aide de powershell
- Get-winevent
- Script Powershell pour la sécurité
- Comment obtenir les journaux d'événements de sécurité sans powershell ?
- Comment surveiller le journal des événements à l'aide de powershell
Audit des serveurs de fichiers
- Comment surveiller les nouveaux fichiers dans un dossier ?
- Comment surveiller les modifications d'un dossier à l'aide de powershell
- Comment vérifier les permissions d'un dossier à l'aide de powershell
- Powershell Filesystemwatcher - Suivi des modifications de fichiers et de dossiers
- NTFSSecurity module powershell
- Get-fileintegrity
- Get-FileShare
- Comment auditer un cluster de basculement à l'aide de powershell
- How to get file creation date using powershell
- Comment obtenir le dernier fichier modifié dans un répertoire en utilisant powershell
- Script Powershell pour trouver des fichiers par propriétaire
Audit de l'Active Directory
- Comment savoir qui a créé un compte AD à l'aide de Powershell ?
- Comment auditer Active Directory à l'aide de powershell
- Obtenir des rapports sur Active Directory à l'aide de Powershell
- Comment savoir qui a supprimé un objet AD à l'aide de Powershell ?
- Comment obtenir un compte privilégié en utilisant powershell
- Obtenir des rapports sur les GPO sans powershell
- Comment auditer le mot de passe LAPS à l'aide de powershell ?
- Comment obtenir les propriétés d'adfs en utilisant powershell -ADAudit Plus
- Comment obtenir les diagnostics d'un serveur DNS à l'aide de Powershell ?
- Comment obtenir les liens vers les GPO à l'aide de Powershell
- Comment auditer les changements de l'Active Directory en utilisant powershel
- Comment surveiller un processus en temps réel à l'aide de powershell
Azure AD
Audit du serveur
Démarrage et arrêt des ordinateurs