Jak uzyskać dostęp do dzienników zdarzeń bezpieczeństwa
Administratorzy IT muszą pobierać zdarzenia bezpieczeństwa wg typu, filtrować je wg właściwości, a następnie raportować wyniki. Pozwala im to być na bieżąco ze złośliwymi aktywnościami i mieć pewność, że Active Directory działa jak należy.
W poniższym artykule porównano sposoby uzyskiwania przez administratorów IT wykazu dzienników zdarzeń bezpieczeństwa za pomocą PowerShell i ADAudit Plus.
Windows PowerShell
Etapy uzyskiwania wykazu dzienników zdarzeń bezpieczeństwa.
- i. Określ domenę, z której ma zostać pobrany raport.
- ii. Określ atrybuty LDAP potrzebne do pobrania raportu.
- iii. Określ główny kontroler domeny, z którego ma zostać pobrany raport.
- iv. Skompiluj skrypt.
- v. Wykonaj go w programie Windows PowerShell.
Przykładowy skrypt Windows PowerShell
Pojawi się wykaz wszystkich zdarzeń bezpieczeństwa
get-eventlog security -newest 50
Pojawi się wykaz 50 ostatnich dzienników zdarzeń bezpieczeństwa.
get-eventlog security -newest 100 |
where \{$_.entrytype -eq `
"FailureAudit"\}
Pojawi się wykaz 100 ostatnich dzienników zdarzeń bezpieczeństwa należących do niepowodzeń zdarzenia.
Przykład produktu wyjściowego:
ADAudit Plus
Uzyskiwanie raportu:
- Zaloguj się do konsoli sieciowej ADAudit Plus jako administrator.
- Przejdź do karty „Raporty”, aby w lewym oknie wyświetlić ponad 20 różnych kategorii raportów.
- W każdej z tych kategorii znajdziesz szereg raportów ułożonych w sposób logiczny.
- Aby wyświetlić konkretny raport, wystarczy przejść do raportu lub użyć „/”, aby wyszukać raporty za pomocą słów kluczowych.
- Dla przykładu, aby wyświetlić raport o niepowodzeniach logowania, przejdź do obszaru Raporty -> Raporty o logowaniu użytkownika -> Niepowodzenia logowania
- Możesz użyć opcji Eksportuj jako, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML, CSVDE i XLSX).
Poniżej przedstawiono ograniczenia dotyczące uzyskiwania raportu o ostatnich logowaniach do stacji roboczych za pomocą narzędzi natywnych, takich jak Windows PowerShell:
- Ten skrypt można uruchomić tylko na komputerach z rolą Active Directory Domain Services.
- Występują trudności ze zmianą formatów daty i zastosowaniem różnych stref czasowych w wynikach daty.
- Jeśli chcesz stworzyć raport z wynikami w innym formacie pliku, musisz napisać inny skrypt.
- Zastosowanie większej liczby filtrów, takich jak jednostka organizacyjna lub „Nazwa użytkownika zaczyna się od”, zwiększy złożoność zapytania LDAP.
- Nie tworzy to raportu z wynikami w formacie intuicyjnym ani interaktywnym. Tworzy jedynie wykaz wymaganych informacji i nie ma możliwości przejścia do szczegółów.
ADAudit Plus generuje wybrane raporty, kiedy tylko użytkownik ich potrzebuje. Raporty te można uruchamiać, przechodząc do prawego obszaru systemu. Wystarczy kilka kliknięć, aby wyświetlić wszystkie informacje związane z dziennikiem bezpieczeństwa, których potrzebujesz, a także intuicyjne grafiki i wykresy.
