Comment accéder aux journaux d'événements de sécurité avec PowerShell et ADAudit Plus ?
Get-EventLog est une commande PowerShell utilisée pour récupérer les journaux d'événements sur un ordinateur local ou distant. Elle utilise divers paramètres et valeurs de propriété pour recueillir des événements spécifiques. Par exemple, l’option -liste lorsqu’elle est ajouté à la méthode Get-EventLog affiche les journaux disponibles sous la forme d'une liste. Un paramètre ComputerName spécifie l'ordinateur distant à partir duquel les journaux doivent être collectés. Cette méthode vous oblige à spécifier plusieurs paramètres pour afficher les événements que vous souhaitez et elle est chronophage.
ADAudit Plus vous donne un aperçu complet de vos journaux d'événements en quelques clics seulement. La comparaison ci-dessous explique la procédure de récupération de vos journaux d'événements de sécurité à l'aide de PowerShell et d'ADAudit Plus. En plus d’une variété de rapports détaillés, vous disposez d'une puissante fonctionnalité de recherche pour identifier des événements spécifiques, ce qui vous permet de repérer plus facilement les comportements anormaux.
Windows PowerShell
Étapes pour récupérer les événements de sécurité dans Windows PowerShell
- Définissez la fonction Get-eventlog pour récupérer les journaux d'événements. Un paramètre de cette cmdlet est '-liste qui, lorsqu'il est spécifié, récupère la liste des journaux d'événements disponibles localement.
- Définissez le journal que vous voulez récupérer spécifiquement ; dans ce cas, le journal de sécurité. Si vous ne spécifiez pas ce paramètre, vous obtiendrez tous les événements de plusieurs journaux.
- Définissez la date et l'heure des enregistrements de journaux
- Exécutez le script.
Code pour récupérer les journaux de sécurité
$date = (get-date).adddays(-1)
get-eventlog security |
where \{$_.timewritten -gt $date\} |
out-file c:\security.txtADAudit Plus
Étapes à suivre pour récupérer les événements de sécurité dans ADAudit Plus
- Les journaux de sécurité comprennent plusieurs événements tels que des modifications de fichiers ou d'objets AD, des échecs de connexion ou de déconnexion de comptes, des changements d’autorisation. Connectez-vous à la console web ADAudit Plus en utilisant votre identifiant administrateur.
- Vous pouvez accéder à l'onglet « Rapports » et consulter les rapports « Connexion de l'utilisateur » et « Connexion/déconnexion locale ». Ces onglets vous offrent un certain nombre de rapports d'événements. Vous pouvez utiliser des filtres de recherche pour trouver un événement particulier dans le rapport.
- Vous pouvez également naviguer dans les onglets « audit de fichier » et « audit de serveur » pour vérifier les modifications de fichier ou les « changements d’autorisation de dossier ».
Captures d’écran :
Pourquoi ADAudit Plus est la meilleure solution pour vous ?
- Des rapports détaillés sur l'activité de connexion qui vous permettent d'examiner de près l'activité des utilisateurs.
- Créez des rapports personnalisés et recevez des alertes en temps réel.
- Liste une variété de rapports préconfigurés pour vous permettre de suivre les modifications apportées aux objets AD
- ADAudit Plus vous permet d'exporter facilement les rapports dans le format souhaité en un seul clic.
- Options de filtrage avancées pour vous éviter de créer des requêtes LDAP complexes.