Comment accéder aux journaux d'événements de sécurité
Les administrateurs informatiques doivent récupérer les événements de sécurité par type, les filtrer par propriétés et établir des rapports sur les résultats. Cela leur permet de rester à l'affût des activités malveillantes et de s'assurer qu'Active Directory fonctionne comme prévu.p>
Cet article compare comment les administrateurs informatiques peuvent obtenir la liste des journaux d'événements de sécurité en utilisant PowerShell et ADAudit Plus.
Windows PowerShell
Étapes pour obtenir la liste des journaux d'événements de sécurité.
- Identifiez le domaine à partir duquel vous voulez récupérer le rapport.
- Identifiez les attributs LDAP dont vous avez besoin pour obtenir le rapport.
- Identifiez le DC primaire pour récupérer le rapport.
- Compilez le script.
- Exécutez-le dans Windows PowerShell.
Exemple de script Windows PowerShell
Cela donnera la liste de tous les journaux de sécurité
get-eventlog security -newest 50
Cela donnera la liste des 50 journaux d'événements de sécurité les plus récents.
get-eventlog security -newest 100 |
where \{$_.entrytype -eq `
"FailureAudit"\}
Cela donne la liste des 100 journaux d'événements de sécurité les plus récents en lien avec des échecs d'événements.
Exemple de sortie :
ADAudit Plus
Pour obtenir le rapport,
- Connectez-vous à la console web ADAudit Plus en tant qu’administrateur.
- Passez à l'onglet Rapports pour afficher plus de 20 catégories de rapports différentes dans le volet de gauche.
- Sous chacune de ces catégories, vous trouverez une multitude de rapports classés de manière logique.
- Pour visualiser un rapport particulier, il suffit de naviguer jusqu'au rapport ou d'utiliser "/" pour rechercher des rapports à l'aide de mots-clés.
- Par exemple, pour afficher un rapport sur les échecs de connexion, naviguez vers Rapports -> Rapports sur les connexions d'utilisateurs -> Échecs de connexion
- Vous pouvez utiliser la fonction Exporter en tant que pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).
Voici les limitations pour obtenir un rapport de la dernière connexion sur les stations de travail en utilisant des outils natifs comme Windows PowerShell :
- Le script ne peut être exécuté qu'à partir des ordinateurs qui ont le rôle de services de domaine Active Directory.
- Il est difficile de modifier les formats de date et d'appliquer différents fuseaux horaires sur les résultats de la date.
- Si vous avez besoin de rapporter les résultats dans un autre format de fichier, vous devrez écrire un script différent.
- L'application d'un plus grand nombre de filtres tels que UO ou « Le nom de l'utilisateur commence par » augmente la complexité de la requête LDAP.
- Les résultats ne sont pas rapportés dans un format intuitif ou interactif. Les informations demandées ne sont pas listées et il n'y a pas d'option pour naviguer dans les détails plus fins.
ADAudit Plus génère les rapports de votre choix en fonction de vos besoins. Vous pouvez exécuter ces rapports en naviguant vers la zone appropriée dans la solution. En quelques clics, vous pouvez consulter toutes les informations relatives aux journaux de sécurité dont vous avez besoin, ainsi que des graphiques et des diagrammes intuitifs.