Jak wygenerować i wyeksportować raport o historii logowania użytkownika

Aby móc prowadzić dzienniki inspekcji, administratorzy często chcą znać historię logowania użytkownika. To zdecydowanie pomoże im określić wzorzec logowania danego użytkownika. Choć informację tę można uzyskać w Windows PowerShell, zapisywanie, kompilowanie, wykonywanie i zmienianie skryptu, tak by odpowiadał określonym wymogom w zakresie szczegółowej inspekcji, jest procesem żmudnym.

Systemy inspekcji Active Directory (AD), takie jak ManageEngine ADAudit Plus, ułatwiają administratorom to zadanie, oferując gotowe raporty na temat logowania oraz wielu krytycznych zdarzeń bezpieczeństwa. Poniżej przedstawiono porównanie uzyskiwania raportu o historii logowania użytkownika AD za pomocą programów Windows PowerShell i ADAudit Plus:

PowerShell

Etapy określania, w których komputerach użytkownik jest zalogowany za pomocą PowerShell:

• Określ domenę, z której ma zostać pobrany raport.
• Określ atrybuty LDAP potrzebne do pobrania raportu.
• Określ główny kontroler domeny, z którego ma zostać pobrany raport.
• Skompiluj skrypt.
• Wykonaj go w programie Windows PowerShell.
• Raport zostanie wyeksportowany w podanym formacie.
• Aby uzyskać raport w innym formacie, zmodyfikuj skrypt.

Przykładowy skrypt Windows PowerShell

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}

 Copied

Kliknij, aby skopiować cały skrypt

ADAudit Plus

Uzyskiwanie raportu:

• Zaloguj się do konsoli sieciowej ADAudit Plus jako administrator.
• Przejdź do karty Raporty, kliknij Raporty o logowaniu użytkownika w lewym oknie i wybierz raport Aktywność logowania użytkownika.
• Wybierz domenę oraz konkretne obiekty, o które chcesz zapytać, jeśli występują.
• Wybierz opcję Eksportuj jako, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML, CSVDE i XLSX).

Zrzut ekranu

 

Poniżej przedstawiono ograniczenia dotyczące uzyskiwania raportu o historii logowania każdego użytkownika za pomocą narzędzi natywnych, takich jak Windows PowerShell:

Oznacza to, że trzeba zebrać informacje z kontrolerów domeny, jak również stacji roboczych i innych serwerów systemu Windows, aby uzyskać pełen przegląd wszystkich aktywności związanych z logowaniem i wylogowaniem w swoim środowisku. Jest to proces żmudny i wymagający dużego nakładu pracy administratorów systemu.

ADAudit Plus generuje raport o historii logowania użytkownika, automatycznie skanując wszystkie kontrolery domeny w domenie, aby pobrać informacje o historii logowania użytkownika i wyświetlić je na prostym i intuicyjnie zaprojektowanym interfejsie użytkownika.