Windows-gebeurtenislogboeken controleren met Powershell en ADAudit Plus

Het controleren van gebeurtenislogboeken is essentieel om u een compleet beeld te kunnen vormen van de IT-omgeving van uw organisatie. Gebeurtenislogboeken leveren een rijkdom aan informatie over bestandstoegangswijzigingen, administratieve gebeurtenissen, aanmeldingsactiviteiten enz. Het volgen en registreren van kritieke gebeurtenissen die zich voordoen binnen het netwerk van een organisatie, is absoluut noodzakelijk om te voldoen aan de vereisten voor beveiligingscontroles en IT-nalevingsvereisten.

Het volgende is een vergelijking tussen de procedures voor het controleren van gebeurtenislogboeken met Windows PowerShell en ADAudit Plus:

PowerShell

Stappen voor het controleren van gebeurtenislogboeken met PowerShell:

Definieer het domein waarvan u de gebeurtenislogboeken wilt verzamelen.
Zoek de LDAP-kenmerken die u nodig hebt om de logboeken op te halen.
Compileer het script.
Voer het script uit in Windows PowerShell
De verzamelde gebeurtenislogboeken worden geëxporteerd in de opgegeven indeling.
Om de logboeken in een andere bestandsindeling te exporteren, wijzigt u het script overeenkomstig.

Voorbeeld van Windows PowerShell-script

De volgende cmdlet haalt gebeurtenissen op van de lokale computer en slaat deze op in html-indeling.

Copied

Get-EventLog -ReportType HTML -Path 'Mention the location where report needs to be saved, For Eg: C:\EventLogReports\Report1.html'

Klik om het gehele script te kopiëren

Om gebeurtenislogboeken op te halen van een externe computer, geeft u de computernaam op.

Copied

Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Path "Mention the location where report needs to be saved, For Eg: C:\remoteLogReports\Report1.html"

Klik om het gehele script te kopiëren

Om de rapporten op te slaan in xml-indelingen, vervangt u HTML door XML in de bovenstaande cmdlets.

Het script kan worden gewijzigd om rapporten te genereren met andere parameters, zoals -Before, -After (om rapporten respectievelijk voor en na een specifieke datum te verkrijgen), -EntryType (deze parameter retourneert logboeken op basis van de gebeurtenisstatus, zoals waarschuwing, fout, informatie, audit gelukt of audit mislukt) enz.

ADAudit Plus

Voor het verkrijgen van het rapport,

ADAudit Plus analyseert alle beveiligingsgebeurtenissen van de Windows-omgeving en stelt deze voor in de vorm van intuïtieve rapporten voor een naadloze analyse.

Om de rapporten weer te geven onder verschillende categorieën, navigeert u naar het tabblad Rapporten in de ADAudit Plus-console.

Selecteer het vereiste 'Domein' in de vervolgkeuzelijst in de rechterbovenhoek.
Selecteer 'Exporteren als' om het rapport in de gewenste opmaak te exporteren (CSV, PDF, HTML en XLS).

Het rapport dat door de gebruiker is gemaakt, kan worden weergegeven door te klikken op de knop Aangepaste rapporten weergeven. Het rapport kan ook worden geëxporteerd in de indeling van uw voorkeur (PDF, XLS, HTML en CSV) door de optie 'Exporteren als' te selecteren.

Hieronder staan de beperkingen voor het verkrijgen van rapporten van Eventlog met behulp van systeemeigen tools zoals Windows PowerShell:

We kunnen dit script alleen uitvoeren vanaf de computers met de rol Active Directory Domain Services.
Om te exporteren in andere indelingen, moet het script telkens worden gewijzigd.
Als u meer filters toepast, wordt de LDAP-query nog complexer.
Het kan een hele opgave zijn om de volumineuze gegevens van de gebeurtenislogboeken te identificeren.

ADAudit Plus zal automatisch alle DC's in het domein scannen om gegevens op te halen van het Eventlog, het rapport te genereren en weer te geven in een eenvoudige en gebruiksvriendelijk ontworpen UI.

PowerShell-scripting, en vereenvoudig AD-wijzigingscontrole met ADAudit Plus.
Door te klikken op 'Uw gratis proefversie nu aanvragen', gaat u akkoord met de verwerking van persoonsgegevens in overeenstemming met het Privacybeleid.

Danke für das Herunterladen!