Jak uzyskać dostęp do dzienników zdarzeń bezpieczeństwa za pomocą PowerShell i ADAudit Plus
ADAudit Plus » Jak uzyskać dostęp do dzienników zdarzeń bezpieczeństwa za pomocą PowerShell i ADAudit Plus

Jak uzyskać dostęp do dzienników zdarzeń bezpieczeństwa za pomocą PowerShell i ADAudit Plus

Get-EventLog to polecenie PowerShell stosowane do pobierania dzienników zdarzeń z komputera lokalnego lub zdalnego. Wykorzystuje liczne wartości parametrów i właściwości do gromadzenia konkretnych zdarzeń. Dla przykładu parametr „-list” po dodaniu do polecenia cmdlet Get-EventLog wyświetla dostępne dzienniki w formie wykazu. Parametr „ComputerName” określa, z którego komputera zdalnego należy zgromadzić dzienniki. Metoda ta wymaga określenia wielu parametrów w celu wyświetlania żądanych zdarzeń i jest czasochłonna.

Wystarczy kilka kliknięć, by uzyskać w ADAudit Plus kompletny wgląd w dzienniki zdarzeń. Poniższe porównanie służy do przedstawienia procedury pobierania dzienników zdarzeń bezpieczeństwa za pomocą PowerShell i ADAudit Plus. Poza szeregiem pogłębionych raportów można także skorzystać z wielofunkcyjnej opcji wyszukiwania, która pozwala identyfikować konkretne zdarzenia, ułatwiając śledzenie nietypowych zachowań.

Windows PowerShell

Etapy pobierania zdarzeń bezpieczeństwa w Windows PowerShell

  • Zdefiniuj polecenie cmdlet Get-eventlog, aby pobrać dzienniki zdarzeń. Parametrem tego polecenia cmdlet jest „-list”, który po określeniu pobiera wykaz dzienników zdarzeń dostępnych lokalnie.
  • Określ, który dziennik konkretnie chcesz pobrać; w tym przypadku jest to dziennik bezpieczeństwa. Nieokreślenie tego parametru spowoduje pobranie wszystkich dzienników zdarzeń z wielu dzienników.
  • Zdefiniuj datę i ramy czasowe dla dzienników
  • Wykonaj skrypt.

Kod do pobrania dzienników bezpieczeństwa

$date = (get-date).adddays(-1)
get-eventlog security |
where \{$_.timewritten -gt $date\} |
out-file c:\security.txt
 Copied
Kliknij, aby skopiować cały skrypt

ADAudit Plus

Etapy pobierania zdarzeń bezpieczeństwa w ADAudit Plus

  • Dzienniki bezpieczeństwa obejmują wiele zdarzeń, takich jak zmiany pliku lub obiektu AD, nieudane próby logowania do lub wylogowywania z konta, zmiany uprawnień. Zaloguj się do konsoli sieciowej ADAudit Plus za pomocą poświadczeń administratora.
  • Można przejść do karty „Raporty” i wyświetlić raporty „Logowanie użytkownika” oraz „Lokalne logowanie/wylogowywanie”. Karty te zawierają szereg raportów o zdarzeniach. Można stosować filtry wyszukiwania, aby znaleźć konkretne zdarzenie w raporcie.
  • Można także przejść do kart „Inspekcja pliku” oraz „Inspekcja serwera”, aby sprawdzić modyfikacje pliku lub zmiany uprawnień folderu.

Zrzuty ekranu:

powershell-security-log-audit-1
powershell-security-log-audit-2
powershell-security-log-audit-3

Dlaczego ADAudit Plus jest dla Ciebie lepszym rozwiązaniem?

  • Szczegółowe raporty o aktywności logowania, które pozwalają przyjrzeć się z bliska aktywności użytkownika.
  • Tworzenie spersonalizowanych raportów i otrzymywanie alertów w czasie rzeczywistym.
  • Generowanie wykazu różnorodnych wstępnie skonfigurowanych raportów umożliwiających śledzenie zmian w obiektach AD
  • W ADAudit Plus wystarczy jedno kliknięcie, aby łatwo wyeksportować raporty w wybranym formacie.
  • Zaawansowane opcje filtrów, aby oszczędzić problemów z tworzeniem złożonych zapytań LDAP.
  • Wykonywanie skryptów PowerShell i uproszczony audyt zmian w AD za pomocą ADAudit Plus.
  •  
  • Przez kliknięcie „Pobierz bezpłatną wersję próbną” akceptujesz licencję użytkownika i polityką prywatności.
  •  
  • Dziękujemy za pobranie!
  • Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund. Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie

Powiązane zasoby

Spełnij wszystkie potrzeby związane z audytem i bezpieczeństwem IT dzięki ADAudit Plus.

  • Active Directory
  • Serwery plików
  • Serwery Windows
  • Stacja robocza
  • Zgodność
  • Produkty powiązane