Så här hämtar du senast ändrade filen i katalogen med PowerShell och ADAudit Plus

Kontinuerlig övervakning av filändringar är viktigt för att hålla koll på obehöriga ändringar och för att identifiera avvikande filåtkomst. IT-administratörer måste hålla reda på alla ändringar som görs i kritiska filer, inte bara för att uppfylla efterlevnadskraven utan också för att försvara sig mot externa och interna dataintrång

Nedan följer en jämförelse mellan procedurerna för att hämta den senast ändrade filen i Windows filserver med PowerShell och ADAudit Plus.

PowerShell

Hur man får den senaste ändrade filen i active directory med hjälp av PowerShell

  • Identifiera den domän som du vill hämta rapporten från.
  • Hitta de LDAP-attribut du behöver för att hämta rapporten.
  • Identifiera den primära DC:n för att hämta rapporten.
  • Kompilera skriptet.
  • Kör den i Windows PowerShell
  • Rapporten kommer att exporteras i specificerat format.
  • För att erhålla rapporten i ett annat format modifierar du skriptet i enlighet med detta.

Exempel på Windows PowerShell-skript

Följande skript hämtar namnet på de filer och motsvarande undermappar som har ändrats i mappen ”Loggar” under den senaste ”1” dagen tillsammans med tidpunkten då filerna ändrades.

$path="C:\Windows\Temp" $NoOfDirs=Get-ChildItem $path | Where-Object {$_.PSIsContainer -eq $True} ForEach($dir in $NoOfDirs ) { Get-ChildItem "$path\$($dir.name)" -Recurse | Where-Object {($_.LastWriteTime -gt ([DateTime]::Now.Adddays(-1))) -and ($_.PSIsContainer -eq $False) } | Select-Object @{l='Folder';e={$dir.Name}},Name,LastWriteTime | Sort-Object -pro LastWriteTime -Descending | Select -First 1 } Out-File -FilePath C:\Windows\Logs\Report1.html
 Kopierad
Klicka för att kopiera hela skriptet

(Ange den plats där rapporten måste sparas)

Om du vill hämta de senast ändrade filerna i en annan mapp anger du korrekt mappsökväg i skriptet.

$path="Önskad mappsökväg"

Rapporten kan hämtas i .csv- eller .txt-format genom att ändra densamma.

Out-File -FilePath C:\Windows\Logs\Report1.csv

Provutmatning:

powershell-get-last-modified-file-in-directory-4

ADAudit Plus

Steg för att hämta den senast ändrade filen i en katalog med ADAudit Plus

  • Navigera till Filgranskning → Filgranskningsrapporter → Modifierade filer.
  • Välj obligatorisk "Domän" från alternativet i listrutan högst upp i höger hörn.
  • Välj "Exportera som" för att exportera rapporten i något av de föredragna formaten (CSV, PDF, HTML och XLS).
powershell-get-last-modified-file-in-directory-1
powershell-get-last-modified-file-in-directory-2
powershell-get-last-modified-file-in-directory-3

Förutom namnet på filen och tidpunkten för ändring följer nedan några av de detaljer som AD Audit Plus tillhandahåller:

  • Vem ändrade filen.
  • Domän och server som filen finns på.
  • Filtyp.
  • Klientens IP-adress och maskinnamn.
  • Typ av åtkomst.

 

Nedan följer några begränsningar för att få en rapport om den senast ändrade filen med hjälp av inbyggda verktyg som Windows PowerShell:

  • Vi kan endast köra detta skript från datorerna som har rollen Domäntjänster i Active Directory.
  • För att övervaka senast ändrade fil i olika mappar måste PowerShell-koden köras varje gång. Att ändra mappsökvägen varje gång är praktiskt taget omöjligt när man övervakar hundratals (eller fler) mappar i en domän.
  • Att tillämpa fler filter kommer att öka LDAP-frågans komplexitet.
  • För att kunna exportera rapporten i andra format behöver skriptet modifieras varje gång.
  • Det kan vara utmanande att få rapporter i olika datumformat och tidszoner.

ADAudit Plus skannar automatiskt alla DC i domänen för att hämta information om den senast ändrade filen, generera rapporten och presentera den i ett enkelt och intuitivt utformat användargränssnitt.

Relaterade resurser