Jak uzyskać informacje o czasie przestoju za pomocą PowerShell i ADAudit Plus
Przestoje to zdarzenia krytyczne analizowane przez administratorów IT w celu usuwania błędów. Monitorowanie czasu przestoju jest także kluczowe w kontekście przeglądu bezpieczeństwa organizacji oraz wymogów zgodności IT. Gdy system operacyjny jest wyłączony, systemy są podatne na ataki oparte na dostępie fizycznym. Dlatego inspekcja i generowanie raportów o czasie przestoju urządzenia są niezbędne do wykrywania nietypowych zachowań w organizacji i zapobiegania zewnętrznym cyberatakom.
Poniżej przedstawiono porównanie procedur monitorowania czasu przestoju komputera za pomocą Windows PowerShell i ADAudit Plus.
Powershell
Jak uzyskać informacje o czasie przestoju za pomocą PowerShell
- Określ domenę, z której ma zostać pobrany raport.
- Znajdź atrybuty LDAP potrzebne do pobrania raportu.
- Określ główny kontroler domeny, z którego ma zostać pobrany raport.
- Skompiluj skrypt.
- Wykonaj go w programie Windows PowerShell.
- Raport zostanie wyeksportowany w podanym formacie.
- Aby uzyskać raport w innym formacie, odpowiednio zmodyfikuj skrypt.
Przykładowy skrypt Windows PowerShell
Poniższy skrypt analizuje dziennik zdarzeń systemu pod kątem zdarzeń przestoju i generuje raport pozwalający zdobyć wiedzę o przestoju systemu.
Get-EventLog -LogName System -Source
"EventLog" -EntryType Error | Where {$_.EventID -eq 6008} | fl * | Out-File -Filepath
C:\Users\sareeka-8466\Desktop\REport.html (Mention the location where report needs to be saved)
The report can be saved in .csv or .txt format by altering the same.
For Eg: Out-File -FilePath C:\Users\sareeka-8466\Desktop\REport.csv
ADAudit Plus
Etapy uzyskiwania informacji o czasie przestoju komputera za pomocą ADAudit Plus
- Przejdź do obszaru Raporty > Lokalne logowanie/wylogowywanie > Uruchamianie i przestój komputera.
- Wybierz żądaną „Domenę” z menu rozwijanego w prawym górnym rogu.
- W polu „Domena” w prawym górnym rogu wybierz żądaną domenę lub „Wszystkie domeny”.
- Wybierz opcję „Eksportuj jako”, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML i XLS).
Poza nazwą komputera i czasem przestoju ADAudit Plus dostarcza informacje takie jak:
- Użytkownik, który rozpoczął przestój.
- Typ przestoju – dostarcza informacje o tym, czy komputer jest w stanie przestoju czy uruchomienia.
- Procesy, które spowodowały przestój.
Poniżej przedstawiono ograniczenia dotyczące generowania raportu o czasie przestoju komputera za pomocą narzędzi natywnych, takich jak Windows PowerShell:
- Ten skrypt można uruchomić tylko na komputerach z rolą Active Directory Domain Services.
- Aby móc monitorować czas przestoju kilku komputerów, należy za każdym razem wykonać skrypt. Jest to praktycznie niemożliwe przy jednoczesnym monitorowaniu setek (lub więcej) komputerów w domenie.
- Zastosowanie większej liczby filtrów zwiększy złożoność zapytania LDAP.
- Aby wyeksportować raport w innych formatach, za każdym razem należy zmodyfikować skrypt.
- Uzyskiwanie raportów w innych formatach danych i innych strefach czasowych może być trudne.
ADAudit Plus automatycznie skanuje wszystkie kontrolery domeny dostępne w domenie, aby pobrać informacje o czasie zamknięcia, wygenerować raport oraz zaprezentować go na prostym i intuicyjnym interfejsie użytkownika.
