Come generare ed esportare il report sulla cronologia degli accessi utente

Per effettuare audit trail sugli utenti, gli amministratori hanno spesso necessità di conoscere la cronologia degli accessi utente. Ciò li aiuterà enormemente nell’accertare i comportamenti degli utenti in materia di accessi. Sebbene questa informazione possa essere ottenuta tramite Windows PowerShell, la creazione, compilazione, esecuzione e modifica degli script per rispettare specifici requisiti di granularità è un processo noioso.

Una soluzione di auditing Active Directory (AD) come ManageEngine ADAudit Plus aiuterà gli amministratori a snellire questo processo fornendo dei report pronti alla consultazione, sia riguardo alla cronologia accessi che ad altri eventi critici relativi alla sicurezza. Qui sotto è riportato un confronto tra le procedure per ottenere il report sulla cronologia degli accessi di un utente AD con Windows PowerShell e ADAudit Plus:

PowerShell

Procedura per identificare i computer a cui è connesso un utente tramite PowerShell:

• Identificare il dominio da cui desideri recuperare il report.
• Identificare gli attributi LDAP di cui necessiti per recuperare il report.
• Identificare il DC primario per recuperare il report.
• Compilare lo script.
• Eseguirlo in Windows PowerShell.
• Il report sarà esportato nel formato specificato.
• Per ottenere il report in un formato differente, modificare lo script.

Script di esempio per Windows PowerShell

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}

 Copied

Fare clic per copiare l’intero script

ADAudit Plus

Per ottenere il report,

• Accedere alla console web di ADAudit Plus come amministratore.
• Navigare fino alla scheda Report, fare clic sulla sezione Report accessi utenti nel pannello di sinistra e selezionare il report Attività accesso utente.
• Selezionare il dominio e gli oggetti specifici su cui si vorrà eseguire una query, se presenti.
• Selezionare Esporta come per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, CSVDE e XLSX).

Screenshot

 

Di seguito sono elencate le limitazioni per ottenere il report sulla cronologia di tutti gli utenti mediante strumenti nativi come Windows PowerShell:

Ciò significa che è necessario raccogliere informazioni sia dai controller di dominio sia dalle workstation e dagli altri server Windows per ottenere una panoramica completa di tutte le attività di accesso e disconnessione all’interno del proprio ambiente. Il tutto di traduce in un processo faticoso e ripetitivo per gli amministratori di sistema.

ADAudit Plus genera il report sulla cronologia degli accessi utente scansionando in automatico tutti i controller presenti nel domino per estrarre tutte le cronologie degli accessi degli utenti, mostrandole tramite un’interfaccia utente semplice e dal design intuitivo.