Comment surveiller le journal des événements de Windows à l'aide de Powershell et d'ADAudit Plus ?
La surveillance des journaux d'événements est essentielle pour obtenir une image complète de l'environnement informatique de votre organisation. Les journaux d'événements fournissent une multitude d'informations sur les changements d'accès aux fichiers, les événements administratifs, l'activité de connexion, etc. Le suivi et l'enregistrement des événements critiques qui se produisent au sein du réseau d'une organisation sont essentiels pour satisfaire aux évaluations de sécurité et aux exigences de conformité informatique.
Voici une comparaison entre les procédures de surveillance des journaux d'événements à l'aide de Windows PowerShell et d'ADAudit Plus :
PowerShell
Étapes pour surveiller le journal des événements en utilisant PowerShell :
- Définissez le domaine à partir duquel vous souhaitez collecter les journaux d'événements.
- Trouvez les attributs LDAP dont vous avez besoin pour récupérer les logs.
- Compilez le script.
- Exécutez-le dans Windows PowerShell
- Les journaux d'événements collectés seront exportés dans le format spécifié.
- Pour exporter les journaux dans un format de fichier différent, modifiez le script en conséquence.
Exemple de script Windows PowerShell
La commande cmdlet suivant récupère les événements de l'ordinateur local et les enregistre au format .html.
Get-EventLog -ReportType HTML -Path 'Mention the location where report needs to be saved, For Eg: C:\EventLogReports\Report1.html'
Pour récupérer les journaux d'événements d'un ordinateur distant, spécifiez le nom de l'ordinateur.
Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Path "Mention the location where report needs to be saved, For Eg: C:\remoteLogReports\Report1.html"
Afin d'enregistrer les rapports au format xml, remplacez HTML par XML dans les cmdlets ci-dessus.
Le script peut être modifié pour générer des rapports avec d'autres paramètres tels que -Before, -After (pour obtenir des rapports avant et après une date et une heure spécifiques, respectivement), -EntryType (ce paramètre renvoie les journaux en fonction de l'état de l’événement : avertissement, erreur, information, succès ou échec de l'audit), etc.
ADAudit Plus
Pour obtenir le rapport,
ADAudit Plus analyse tous les événements de sécurité de l'environnement Windows et les présente sous forme de rapports intuitifs pour une analyse transparente.Pour visualiser les rapports sous différentes catégories, naviguez vers l'onglet Rapports dans la console ADAudit Plus.
- Sélectionnez le « Domaine » requis dans le menu déroulant en haut à droite.
- Sélectionnez « Exporter en tant que » pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML et XLS).
ADAudit Plus also allows users to generate custom reports.
Navigate to Analytics -> Custom Reports to build custom reports.
The self explanatory UI allows users to select parameters to be monitored and included in the report.
Le rapport créé par l'utilisateur peut être consulté en cliquant sur le bouton Afficher les rapports personnalisés. Le rapport peut également être exporté dans l'un des formats préférés (PDF, XLS, HTML et CSV) en sélectionnant l'option « Exporter en tant que ».
Voici les limitations pour obtenir des rapports d'Eventlog en utilisant des outils natifs comme Windows PowerShell :
- Ce script ne peut être exécuté qu'à partir des ordinateurs avec un rôle Services de domaine Active Directory.
- Pour changer les formats d’exportation du rapport, le script doit être modifié à chaque fois.
- Le fait d’appliquer davantage de filtres augmente la complexité de la requête LDAP
- Comprendre les données volumineuses du journal des événements pour identifier les informations nécessaires peut être fastidieux.
ADAudit Plus analyse automatiquement tous les DC du domaine pour récupérer les données de l'Eventlog, générer le rapport et le présenter dans une interface utilisateur simple et intuitive.
Ressources connexes:
Connexion-déconnexion
- Comment obtenir l'utilisateur actuellement connecté sur PowerShell
- Comment savoir sur quel ordinateur un utilisateur est connecté ?
- Comment voir à distance quels utilisateurs sont connectés à Windows ?
- Comment obtenir l'utilisateur connecté actuel
- Comment obtenir l'historique des connexions d'un utilisateur à l'aide de PowerShell
- Obtenir les identifiants du serveur Terminal
- Obtenir un rapport d'audit sur les activités de connexion et de déconnexion d'un compte d'utilisateur AD
- Comment obtenir les échecs des tentatives de connexion en utilisant powershell
- Get-rdusersession
- Comment obtenir le dernier utilisateur connecté sur un ordinateur distant à l'aide de Powershell ?
- Comment trouver l'ordinateur sur lequel un utilisateur s'est connecté à l'aide de powershell ?
- Comment obtenir la dernière connexion d'un utilisateur à l'aide de Powershell ?
- Comment déployer des services de bureau à distance à l'aide de Powershell ?
Blocage des comptes
- Afficher l'historique du verrouillage des comptes d'utilisateurs Active Directory
- Comment trouver des comptes d'utilisateurs verrouillés
- Comment trouver la source du blocage de compte
- Recherche de comptes verrouillés dans Active Directory
- Comment trouver la raison du blocage d'un compte à l'aide de Powershell ?
Journaux d'événements Windows
- Comment vérifier les journaux d'événements de Windows
- Comment auditer les journaux de sécurité à l'aide de powershell
- Get-winevent
- Script Powershell pour la sécurité
- Comment obtenir les journaux d'événements de sécurité sans powershell ?
- Comment surveiller le journal des événements à l'aide de powershell
Audit des serveurs de fichiers
- Comment surveiller les nouveaux fichiers dans un dossier ?
- Comment surveiller les modifications d'un dossier à l'aide de powershell
- Comment vérifier les permissions d'un dossier à l'aide de powershell
- Powershell Filesystemwatcher - Suivi des modifications de fichiers et de dossiers
- NTFSSecurity module powershell
- Get-fileintegrity
- Get-FileShare
- Comment auditer un cluster de basculement à l'aide de powershell
- How to get file creation date using powershell
- Comment obtenir le dernier fichier modifié dans un répertoire en utilisant powershell
- Script Powershell pour trouver des fichiers par propriétaire
Audit de l'Active Directory
- Comment savoir qui a créé un compte AD à l'aide de Powershell ?
- Comment auditer Active Directory à l'aide de powershell
- Obtenir des rapports sur Active Directory à l'aide de Powershell
- Comment savoir qui a supprimé un objet AD à l'aide de Powershell ?
- Comment obtenir un compte privilégié en utilisant powershell
- Obtenir des rapports sur les GPO sans powershell
- Comment auditer le mot de passe LAPS à l'aide de powershell ?
- Comment obtenir les propriétés d'adfs en utilisant powershell -ADAudit Plus
- Comment obtenir les diagnostics d'un serveur DNS à l'aide de Powershell ?
- Comment obtenir les liens vers les GPO à l'aide de Powershell
- Comment auditer les changements de l'Active Directory en utilisant powershel
- Comment surveiller un processus en temps réel à l'aide de powershell
Azure AD
Audit du serveur
Démarrage et arrêt des ordinateurs