Come ottenere l’orario di arresto mediante PowerShell e ADAudit Plus
Gli arresti sono eventi critici, analizzati dagli amministratori IT per risolvere gli errori che li hanno causati. Il monitoraggio dell’orario di arresto è cruciale per soddisfare gli standard di sicurezza e i requisiti di conformità IT. I sistemi sono vulnerabili agli attacchi tramite accesso fisico quando il sistema operativo è in arresto. Di conseguenza, il controllo e la generazione di report sull’orario di arresto del dispositivo sono misure essenziali per individuare comportamenti anomali all’interno dell’organizzazione e tenere lontane le minacce esterne alla sicurezza.
Di seguito è riportato un confronto tra le procedure per il monitoraggio dell’orario di arresto dei computer tramite Windows PowerShell e ADAudit Plus.
Powershell
Come ottenere l’orario di arresto mediante PowerShell
- Identificare il dominio da cui desideri recuperare il report.
- Trovare gli attributi LDAP necessari per recuperare il report.
- Identificare il DC primario per recuperare il report.
- Compilare lo script.
- Eseguirlo in Windows PowerShell
- Il report sarà esportato nel formato specificato.
- Per ottenere il report in un formato differente, modificare opportunamente lo script.
Script di esempio per Windows PowerShell
Il seguente script analizza il registro eventi di sistema in cerca degli eventi di arresto e genera una report per ottenere informazioni approfondite sull'arresto del sistema.
Get-EventLog -LogName System -Source
"EventLog" -EntryType Error | Where {$_.EventID -eq 6008} | fl * | Out-File -Filepath
C:\Users\sareeka-8466\Desktop\REport.html (Mention the location where report needs to be saved)
The report can be saved in .csv or .txt format by altering the same.
For Eg: Out-File -FilePath C:\Users\sareeka-8466\Desktop\REport.csv
ADAudit Plus
Procedura per ottenere l’orario di arresto del computer usando ADAudit Plus
- Navigare fino a Report > Accessi/Disconnessioni locali > Avvio e arresto computer.
- Selezionare il "Dominio" richiesto dalle opzioni del menù a comparsa nell’angolo in alto a destra.
- Nel campo “Dominio”, nell’angolo in alto a destra, selezionare il dominio desiderato oppure “Tutti i domini”.
- Selezionare “Esporta come” per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, e XLS).
In aggiunta al nome del computer e all’orario di arresto, ecco alcuni degli ulteriori dettagli forniti da ADAudit Plus:
- Utente che ha inizializzato l’arresto.
- Tipo di arresto - fornisce informazioni riguardo all’arresto completo o al riavvio del computer.
- Il processo che ha attivato l’arresto.
Di seguito sono elencate le limitazioni nell’ottenere un report sugli orari di arresto dei computer tramite strumenti nativi come Windows PowerShell:
- Possiamo eseguire questo script solo dai computer che dispongono del ruolo Active Directory Domain Services.
- Per monitorare l’orario di arresto di numerosi computer, lo script deve essere eseguito nuovamente per ogni macchina. È praticamente impossibile farlo se si desidera monitorare centinaia (o più) computer in un dominio.
- L'applicazione di ulteriori filtri aumenterà la complessità delle query LDAP.
- Lo script deve essere modificato ogni volta che si voglia esportare il report in un formato diverso.
- Ottenere i report con formati data e fusi orari differenti può essere piuttosto complicato.
ADAudit Plus scansionerà in automatico tutti i controller di dominio per recuperare le informazioni sull’orario di arresto, generare il report e presentarlo tramite un’interfaccia utente semplice e dal design intuitivo.
