Een rapport van de aanmeldingsgeschiedenis van gebruikers genereren en exporteren
Om gebruikersaudittrails uit te voeren, willen beheerders vaak de geschiedenis van gebruikersaanmeldingen kennen. Dit zal hen in hoge mate helpen het gebruikersgedrag met betrekking tot aanmeldingen te controleren. Hoewel deze informatie kan worden verkregen met Windows PowerShell, is het noteren, compileren, uitvoeren en wijzigen van scripts om te voldoen aan specifieke gedetailleerde vereisten, een vervelend proces.
De Active Directory (AD)-auditoplossing, zoals ManageEngine ADAudit Plus, zal beheerders helpen om dit proces te vergemakkelijken door gebruiksklare rapporten over deze en verschillende andere kritieke beveiligingsgebeurtenissen. Hieronder vindt u de vergelijking tussen het verkrijgen van een rapport met de aanmeldingsgeschiedenis van de AD-gebruiker met Windows PowerShell en ADAudit Plus:
PowerShell
Stappen voor het identificeren van de computers waarop een gebruiker is aangemeld met PowerShell:
- Identificeer het domein waarvan u het rapport wilt ophalen.
- Identificeer de LDAP-kenmerken die u nodig heeft om het rapport op te halen.
- Identificeer de primaire DC voor het ophalen van het rapport.
- Geef de bovenstaande parameters in het hieronder gegeven script en compileer alles.
- Voer het script uit in Windows PowerShell.
- Het rapport wordt geëxporteerd met de bestandsindeling .psm.
- Om het rapport in een andere indeling te krijgen, wijzigt u het script overeenkomstig.
Voorbeeld van Windows PowerShell-script
Copied
# Find DC list from Active Directory $DCs = Get-ADDomainController -Filter * # Define time for report (default is 1 day) $startDate = (get-date).AddDays(-1) # Store successful logon events from security logs with the specified dates and workstation/IP in an array foreach ($DC in $DCs){ $slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }} # Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely foreach ($e in $slogonevents){ # Logon Successful Events # Local (Logon Type 2) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){ write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] } # Remote (Logon Type 10) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){ write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18] }}
Klik om het gehele script te kopiëren
ADAudit Plus
Voor het verkrijgen van het rapport,
- Meld aan als beheerder op de webconsole van ADAudit Plus.
- Navigeer naar het tabblad Rapporten. Klik op de sectie Gebruikersaanmelding op het linkerpaneel en selecteer de optie Rapporten gebruikersaanmeldingen.
- Selecteer Exporteren als om het rapport te exporteren in de indeling van uw voorkeur (CSV, PDF, HTML, CSVDE en XLSX).
Schermafbeelding
» 30 Tage lang kostenlos ausprobieren
Hieronder staan de beperkingen voor het verkrijgen van het rapport van de aanmeldingsgeschiedenis van elke gebruiker met systeemeigen hulpprogramma's, zoals Windows PowerShell:
- Alle lokale, met aanmelden en afmelden verwante gebeurtenissen, worden alleen geregistreerd in het beveiligingslogboek van individuele computers (werkstations of Windows-servers) en niet op de domeincontrollers (DC's).
- Aanmeldingsgebeurtenissen die zijn geregistreerd op DC's, bevatten onvoldoende informatie om het onderscheid te maken tussen de verschillende aanmeldingstypes, namelijk, Interactief, Interactief op afstand, Netwerk, Batch, Service, enz.
- Afmeldingsgebeurtenissen worden niet geregistreerd op DC's. Deze informatie is cruciaal bij het bepalen van de aanmeldingsduur van een specifieke gebruiker.
Dit betekent dat u informatie moet verzamelen van zowel DC's als werkstations en andere Windows-servers om een compleet overzicht te krijgen van alle aanmeldings- en afmeldingsactiviteiten binnen uw omgeving. Dit is een moeizaam en alledaags proces voor systeembeheerders.
ADAudit Plus genereert het rapport met de geschiedenis van gebruikersaanmeldingen door alle DC's in het domein automatisch te scannen om de aanmeldingsgeschiedenis van gebruikers op te halen en weer te geven op een eenvoudige, gebruiksvriendelijk ontworpen UI.