Hur får jag Active Directory-rapporter med hjälp av PowerShell?

Steg för att hämta granskningsposter med hjälp av PowerShell:

• Med cmdlet Get-WinEvent kan grundläggande säkerhetsloggar granskas. En specifik händelse kan granskas genom att använda dess händelse-ID.

  Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | fl

• Ytterligare grundläggande information som tid och användarnamn kan hämtas med hjälp av skriptet nedan.

  Get-WinEvent -Computer dc1 -FilterHashtable @{LogName="Security";ID=4720} | Select TimeCreated,@{n="WHO";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.'#text'}}},@{n="User Account";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SamAccountName"}| %{$_.'#text'}}} |fl

   Kopierad
  Klicka för att kopiera hela skriptet

För att få rapporten,

Säkerhetsloggar omfattar flera händelser, såsom ändringar av filer eller AD-objekt, misslyckade inloggningar eller utloggningar, samt ändringar av behörigheter.

• Logga in på ADAudit Plus-webbkonsolen.
• Gå till fliken Rapporter. Alla rapporter som rör Active Directory är lättillgängliga. På den här fliken finns flera olika händelserapporter. Du kan använda sökfilter för att hitta en viss händelse i rapporten.
• Välj rapport och domän.
• Välj Exportera som för att exportera rapporten i något av de föredragna formaten (CSV, PDF, HTML, CSVDE och XLSX).

skärmdumpar: