Come recuperare le istanze dai registri eventi con PowerShell e ADAudit Plus
ADAudit Plus » Come recuperare le istanze dai registri eventi con PowerShell e ADAudit Plus

Come recuperare le istanze dai registri eventi con PowerShell e ADAudit Plus

Il cmdlet Get-WinEvent è un successore del cmdlet originale Get-EventLog. È dotato di maggiori capacità nel recuperare i “registri di applicazione” e i “registri di servizio”. Inoltre, prevede alcune proprietà differenti rispetto a Get-EventLog. Get-WinEvent fornisce informazioni complete riguardo ai registri archiviati sul proprio sistema. Questo cmdlet offre tre modalità per richiedere i propri dati usando

  • FilterXML
  • FilterHashtable
  • FilterXPath

Nonostante le buone performance di Get-WinEvent nel recuperare i dati, è comunque sensato cercare una soluzione più rapida, che richieda meno sforzo, ma che fornisca dei report approfonditi sui registri eventi. ADAudit Plus è una di queste soluzioni ed è dotato di un’interfaccia semplice per identificare i report più pertinenti. È dotato anche di funzionalità di ricerca integrate che individuano facilmente gli eventi desiderati. Di seguito è riportato un confronto che mostra come recuperare i registri eventi con PowerShell e ADAudit Plus.

Windows PowerShell

Procedura per recuperare gli eventi dai registri eventi in Windows PowerShell

  • Eseguire il cmdlet Get-WinEvent. Si ottengono come risultato i “registri classici” e i “registri Windows”. I registri classici sono i primi a essere recuperati.
  • Specificare il “nome computer” per recuperare i registri dall’host locale. È anche possibile specificare la proprietà “Recordcount” per ottenere solo i registri che contengono effettivamente dei dati.
    Codice: 
    Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }
     Copied
  • Raccogliere i registri da più server
    È inoltre possibile raccogliere i registri da più server usando l’istruzione “ForEach” che crea un loop per recuperare di log da un server alla volta.
    Codice: 
    $S = 'Server01', 'Server02', 'Server03'
ForEach ($Server in $S) {
  Get-WinEvent -ListLog Application -ComputerName $Server |
    Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName,
      @{name='ComputerName'; expression={$Server}} |
    Format-Table -AutoSize
}
     Copied
    Fare clic per copiare l’intero script

ADAudit Plus

Procedura per recuperare gli eventi dai registri eventi in ADAudit Plus

  • Accedere alla console web di ADAudit Plus usando le credenziali di amministratore. Navigare fino alla scheda “Controllo server”.
  • Fare clic su “Report di controllo server” e selezionare “Eventi di sistema”.

Screenshot:

get-winevent-1

Perché ADAudit Plus è la soluzione migliore per te?

  • Una dashboard completa che consente di correlare i vari report.
  • Consente di esportare facilmente i report nel formato desiderato e con un solo clic.
  • Le opzioni di filtro avanzate evitano l’inconveniente di dover creare query LDAP complesse.
  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.

Risorse correlate