Come ottenere report di Active Directory mediante PowerShell?

All’interno di Active Directory, ogni evento ha un ID associato. Usando il cmdlet di PowerShell Get-WinEvent, possiamo trovare i record di auditing. In alternativa, ci si può affidare a una soluzione di auditing AD completa come ADAudit Plus, che renderà il procedimento molto più semplice.

Questo articolo confronta i metodi di ottenimento dei report di controllo AD tramite PowerShell e ADAudit Plus.

PowerShell

Procedura per ottenere il record di controllo mediante PowerShell:

  • Usando il cmdlet Get-WinEvent, può essere effettuato l’auditing dei registri di protezione di base. L’auditing di un particolare evento può essere effettuato tramite il relativo ID evento.
    Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | fl 
  • Ulteriori dettagli di base come l’orario e il nome utente possono essere recuperato usando lo script qui sotto.
    Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | Select TimeCreated,@{n="WHO";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.'#text'}}},@{n="User Account";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SamAccountName"}| %{$_.'#text'}}} |fl
     Copied
    Fare clic per copiare l’intero script

ADAudit Plus

Per ottenere il report,

I registri di protezione comprendono numerosi eventi come le modifiche a file o oggetti AD, i tentativi di accesso o disconnessione non riusciti e le variazioni delle autorizzazioni.

  • Accedere alla console web di ADAudit Plus.
  • Andare alla scheda Report. Tutti i report riguardanti Active Directory sono subito disponibili. Questa scheda offre una varietà di report degli eventi. È possibile usare dei filtri di ricerca per trovare uno specifico evento all’interno del report.
  • Selezionare report e dominio.
  • Selezionare Esporta come per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, CSVDE e XLSX).

screenshots:

audit-active-directory-using-powershell-1
audit-active-directory-using-powershell-2
audit-active-directory-using-powershell-3

Perché ADAudit Plus è la soluzione migliore per te?

  • Una dashboard completa che consente di confrontare e correlare i vari report.
  • ADAudit Plus consente di esportare facilmente i report nel formato desiderato e con un solo clic.
  • Le opzioni di filtro avanzate evitano l’inconveniente di dover creare query LDAP complesse per recuperare solo le informazioni necessarie.
  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.