Azure AD-rapporten verkrijgen met PowerShell
Azure Active Directory-auditlogboeken (bewerkingen) en aanmeldingslogboeken (verificatiegegevens) helpen u om alle wijzigingen en elke aanmeldingsactiviteit binnen Azure AD te volgen. U kunt dezelfde gegevens ophalen met de Azure AD PowerShell-cmdlets voor rapportage. U kunt ook een uitgebreide AD-controleoplossing, zoals ADAudit Plus, gebruiken om het allemaal wat gemakkelijker te maken voor u.
Dit artikel vergelijkt de methode voor het ophalen van Azure AD audit- en aanmeldingslogboeken met Windows PowerShell en ADAudit Plus.
Windows PowerShell
Stappen voor het controleren van de Azure AD audit- en aanmeldingslogboeken met PowerShell:
- Voor het ophalen van auditlogboeken binnen Azure AD kunnen we de cmdlet Get-AzureADAuditDirectoryLogs gebruiken.
- Auditlogboeken kunnen worden opgehaald op basis van parameters zoals datums, gebruikers, toepassingen of logboeken die een specifieke bron bevatten.
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
Copied
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
- Om rapporten over aanmeldingslogboeken te krijgen in Azure AD, wordt de cmdlet Get-AzureADAuditSignInLogs gebruikt.
- Soortgelijke parameters, zoals datum, gebruiker, locatie en logboek met een bepaalde status kunnen worden opgehaald.
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"
Copied
PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"
ADAudit Plus
Voor het verkrijgen van het rapport,
- Meld u aan bij de ADAudit Plus- webconsole.
- Ga naar het tabblad Rapporten > tabblad Azure AD > Rapporten gebruikersaanmeldingen.
- Onder Rapporten gebruikersaanmeldingen vindt u de hieronder vermelde rapporten:
- Aanmeldingsactiviteit
- Aanmeldingsfouten
- Mislukte aanmeldingen door verkeerd wachtwoord
- Aanmeldingsactiviteit op IP-adres
- Hybride aanmeldingsactiviteit
- Aanmeldingsactiviteit op toepassingen. Elk van deze rapporten kan verder worden gefilterd volgens uw behoeften.
- Selecteer het domein.
- Selecteer Exporteren als om het rapport te exporteren in een indeling van uw voorkeur (CSV, PDF, HTML, CSVDE en XLSX).
Schermafbeelding
» Start Gratis proefversie voor 30 dagen
Hieronder vindt u de beperkingen van het gebruik van Windows PowerShell voor het genereren van een Azure AD audit- en aanmeldingslogboeken:
- We kunnen het bovenstaande script alleen uitvoeren vanaf de computers met de rol Active Directory Domain Services.
- Om datumnotaties te wijzigen en andere tijdzones toe te passen op de datumresultaten, moet het script telkens opnieuw worden gewijzigd of aangemaakt.
- Het is moeilijk het rapport te exporteren in andere indelingen.
- Het toepassen van meer filters, zoals 'Tijdens kantooruren', 'Periode' en 'Exporteren als' maakt de LDAP-query nog complexer.
ADAudit Plus zal echter snel rapporten genereren door alle DC's te scannen en deze rapporten kunnen worden geëxporteerd in meerdere indelingen.
