De aanmeldingsgeschiedenis van de gebruiker ophalen in Active Directory
Het weergeven en analyseren van de gebruikersaanmeldingsgeschiedenis is essentieel omdat het helpt bij het voorspellen van aanmeldingspatronen en het uitvoeren van audittrails. U kunt de gebruikersaanmeldingsgeschiedenis ophalen met Windows PowerShell. U kunt ook een uitgebreide AD-controleoplossing, zoals ADAudit Plus, gebruiken om het allemaal wat gemakkelijker te maken voor u.
Dit artikel vergelijkt de methode voor het ophalen van informatie over de gebruikersaanmeldingsgeschiedenis met Windows PowerShell en ADAudit Plus.
PowerShell
Stappen voor het verkrijgen van de gebruikersaanmelding:
- Identificeer het domein waarvan u het rapport wilt ophalen.
- Identificeer de primaire DC voor het ophalen van het rapport.
- Compileer het script.
- Voer het script uit in Windows PowerShell.
- Als u het rapport wilt exporteren in een specifieke bestandsindeling, moet u de cmdlet aanpassen, zoals vereist.
Voorbeeld van Windows PowerShell-script
Copied
# Find DC list from Active Directory $DCs = Get-ADDomainController -Filter * # Define time for report (default is 1 day) $startDate = (get-date).AddDays(-1) # Store successful logon events from security logs with the specified dates and workstation/IP in an array foreach ($DC in $DCs){ $slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }} # Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely foreach ($e in $slogonevents){ # Logon Successful Events # Local (Logon Type 2) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){ write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] } # Remote (Logon Type 10) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){ write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18] }}
Klik om het gehele script te kopiëren
ADAudit Plus
Voor het verkrijgen van het rapport,
- Meld aan op de webconsole van ADAudit Plus.
- Navigeer naar het tabblad Rapporten -> sectie Lokaal aanmelden-afmelden -> rapport Aanmeldactiviteiten.
- Kies in het veld 'Domein' in de rechterbovenhoek voor het vereiste domein of selecteer 'Alle domeinen'.
- Gebruik de optie 'Zoeken' om te filteren op specifieke gebruikersnamen, of domeincontroller, indien vereist.
- Verkrijg de volledige aanmeldingsgeschiedenis van gebruikers voor een periode van uw keuze.
- Exporteer het rapport in een indeling van uw keuze: CSV, PDF, XLS of HTML.
Hieronder volgen de beperkingen van het gebruik van PowerShell om de gebruikersaanmeldingsgeschiedenis te verkrijgen:
- We kunnen het bovenstaande script alleen uitvoeren vanaf de computers met de rol Active Directory Domain Services.
- Om datumnotaties te wijzigen en andere tijdzones toe te passen op de datumresultaten, moet het script telkens opnieuw worden gewijzigd of aangemaakt.
- Het is moeilijk het rapport te exporteren in andere indelingen.
- Het toepassen van meer filters, zoals 'Tijdens kantooruren', 'Periode' en 'Exporteren als' maakt de LDAP-query nog complexer.
Anderzijds zal ADAudit snel alle DC's in het domein scannen om de volledige geschiedenis van gebruikersaanmeldingen te verkrijgen in de vorm van een intuïtief rapport.
