Comment générer des rapports en analysant les journaux d’événements ?

Les journaux d'événements peuvent aider les administrateurs à surveiller les activités sur leur réseau. Les journaux d'événements dans Active Directory peuvent être consultés à l'aide de l’Observateur d’événements. Cependant, si vous avez besoin de générer des rapports en analysant les journaux d'événements, vous aurez besoin d'outils supplémentaires : Windows PowerShell ou tout autre outil d'analyse des journaux Windows tel que ADAudit Plus

Si Windows PowerShell ne peut répertorier que les journaux requis, ADAudit Plus traite les journaux à partir de la source en utilisant une API. Il les analyse et génère des rapports complets et conviviaux en un temps record. Plus de 200 rapports préconfigurés pourront répondre à vos besoins, et vous pourrez également générer des rapports personnalisés. Voici une comparaison de l'obtention de rapports sur les journaux d'événements via Windows PowerShell et ADAudit Plus.

Utilisation de Windows PowerShell

  • Identifiez le domaine concerné.
  • Identifiez les événements pour lesquels vous avez besoin des journaux.
  • Identifiez le DC possédant les journaux d'événements qui vous concernent.
  • Compilez le script.
  • Exécutez-le dans Windows PowerShell.
  • Le rapport sera exporté dans le format donné.
  • Pour exporter le rapport dans un autre format, modifiez le script en conséquence.

Voici un exemple de script :

Get-EventLog -LogName  security -ComputerName Server 1 | Where-Object {$_.EventID -eq 4624} |
              Select-Object -Property *
Export-CSV “C:\Temp\UserLogonEventLog .CSV” 
-NoTypeInformation
 Copied
Cliquez pour copier tout le script

À l’aide d’ADAudit Plus

  • Cliquez sur l'onglet Rapports pour sélectionner le rapport que vous souhaitez consulter.
  • Sélectionnez le domaine et l’UO concernés.
  • Cliquez sur Exporter pour exporter le rapport dans les différents formats répertoriés (CSV, PDF, HTML, CSVDE, XLSX).

Voici une capture d'écran d'un échantillon de rapport Activité récente de connexion des utilisateurs -

powershell-windows-event-log-1
 

Voici les limites de l'utilisation de Windows PowerShell pour récupérer les journaux d'événements du domaine :

  • Nous ne pouvons exécuter ce script qu'à partir des ordinateurs qui ont le rôle de services de domaine Active Directory.
  • Pour modifier les formats de date, vous devez modifier le script.
  • Il est difficile d'exporter le rapport dans d'autres formats.
  • L'application de davantage de filtres ajoute de la complexité au script.

ADAudit Plus, quant à lui, génère rapidement des rapports en analysant tous les DC et ces rapports peuvent être exportés dans différents formats.

  • Créez des scripts PowerShell, et simplifiez la vérification des changements AD avec ADAudit Plus.
  •  
  • En cliquant sur « Obtenir votre évaluation gratuite maintenant, », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.
  •  
  • Merci du téléchargement !
  • Votre téléchargement doit commencer automatiquement dans 15 secondes. Sinon, cliquez ici pour télécharger manuellement.