Come accedere ai registri degli eventi di sicurezza con PowerShell e ADAudit Plus
Get-EventLog è un comando di PowerShell usato per recuperare i registri eventi da un computer locale o remoto. Usa vari parametri e valori di proprietà per raccogliere specifici eventi. Per esempio il parametro “-list” quando viene aggiunto al cmdletGet-EventLog mostra i registri disponibili sotto forma di lista. Il parametro “ComputerName” specifica da quale computer remoto raccogliere i registri. Questo metodo richiederebbe di specificare numerosi parametri per visualizzare gli eventi desiderati, con una notevole perdita di tempo.
ADAudit Plus fornisce una panoramica completa dei tuoi registri eventi con solo pochi clic. Il confronto qui sotto spiega la procedura per il recupero dei tuoi registri degli eventi di sicurezza usando PowerShell e ADAudit Plus. Oltre a vari report approfonditi, è anche possibile avvalersi delle potenti funzionalità di ricerca per identificare specifici eventi, il che rende più semplice l’individuazione di comportamenti anomali.
Windows PowerShell
Procedura per recuperare gli eventi di sicurezza in Windows PowerShell
- Definire il cmdlet Get-eventlog per recuperare i registri eventi. Uno dei parametri di questo cmdlet è “-list” che, una volta specificato, recupera l’elenco dei registri eventi disponibili localmente.
- Definire lo specifico registro da recuperare, un questo caso il registro di protezione. La mancata definizione di questo parametro porterebbe al recupero di tutti gli eventi da molteplici registri eventi.
- Definire la data e un intervallo temporale per la ricerca nei registri
- Eseguire lo script.
Codice per recuperare i registri di protezione
$date = (get-date).adddays(-1)
get-eventlog security |
where \{$_.timewritten -gt $date\} |
out-file c:\security.txt
Copied
Fare clic per copiare l’intero script
ADAudit Plus
Procedura per recuperare gli eventi di sicurezza in ADAudit Plus
- I registri di protezione comprendono numerosi eventi come le modifiche a file o oggetti AD, i tentativi di accesso o disconnessione non riusciti e le variazioni delle autorizzazioni. Accedere alla console web di ADAudit Plus usando le credenziali di amministratore.
- È possibile navigare fino alla scheda “Report” e visualizzare i report “Accessi utenti” e “Accessi/Disconnessioni locali”. Queste schede offrono una varietà di report degli eventi. È possibile usare dei filtri di ricerca per trovare uno specifico evento all’interno del report.
- Inoltre, è possibile navigare fino alle schede “Controllo file” e “Controllo server” per verificare le modifiche dei file o le “ modifiche di autorizzazione cartella”.
Screenshots:
Perché ADAudit Plus è la soluzione migliore per te?
- Report dettagliati delle attività di accesso che consentono di dare un’occhiata più da vicino alle attività degli utenti.
- Creazione di report personalizzati e possibilità di ricevere avvisi in tempo reale.
- Una varietà di report preconfigurati per poter tenere traccia delle modifiche agli oggetti AD
- ADAudit Plus consente di esportare facilmente i report nel formato desiderato e con un solo clic.
- Le opzioni di filtro avanzate evitano l’inconveniente di dover creare query LDAP complesse.