Så får du tillgång till säkerhetshändelseloggar
IT-administratörer behöver hämta säkerhetshändelser efter typ, filtrera dem baserat på olika egenskaper och rapportera sina fynd. Detta gör det möjligt för dem att hålla sig uppdaterade om skadlig aktivitet och säkerställa att Active Directory fungerar som förväntat.
I den här artikeln jämförs hur IT-administratörer kan hämta en lista över säkerhetshändelseloggar med hjälp av PowerShell och ADAudit Plus.
Windows PowerShell
Steg för att hämta listan över säkerhetshändelseloggar.
- Identifiera den domän som du vill hämta rapporten från.
- Identifiera de LDAP-attribut du behöver för att hämta rapporterna.
- Identifiera den primära DC:n för att hämta rapporten.
- Kompilera skriptet.
- Kör den i Windows PowerShell.
Exempel på Windows PowerShell-skript
get-eventlog security
Detta ger en lista över alla säkerhetsloggar
get-eventlog security -newest 50
Detta ger en lista över de 50 senaste säkerhetshändelseloggarna.
get-eventlog security -newest 100 | where \{$_.entrytype -eq ` "FailureAudit"\}Detta visar de 100 senaste säkerhetshändelseloggposterna som gäller misslyckade händelser.
Provutmatning:
ADAudit Plus
För att få rapporten,
- Logga in på ADAudit Plus-webbkonsolen som en administratör.
- Gå till fliken Rapporter för att visa över 20 olika rapportkategorier i den vänstra panelen.
- Under var och en av dessa kategorier hittar du en mängd rapporter ordnade på ett logiskt sätt.
- Om du vill se en viss rapport går du bara till rapporten eller använder ”/” för att söka efter rapporter med hjälp av nyckelord.
- Om du till exempel vill visa en rapport om misslyckade inloggningar går du till Rapporter -> Rapporter om användarinloggningar -> Misslyckade inloggningar
- Du kan använda alternativet Exportera som för att exportera rapporten i något av de föredragna formaten (CSV, PDF, HTML, CSVDE och XLSX).
Följande är begränsningarna för att erhålla en rapport om senaste inloggning på arbetsstationer med hjälp av inbyggda verktyg som Windows PowerShell:
- Detta skript kan endast utföras från datorerna som har rollen Domäntjänster i Active Directory.
- Det är svårt att ändra datumformat och tillämpa olika tidszoner på datumresultaten.
- Om du behöver rapportera resultaten i ett annat filformat måste du skriva ett annat skript.
- Att tillämpa fler filter, som t.ex. OU eller "Användarnamn börjar med" kommer att öka LDAP-frågans komplexitet.
- Den rapporterar inte resultaten i ett intuitivt eller interaktivt format. Den visar endast den information som efterfrågats och ger ingen möjlighet att gå djupare in i detaljerna.
ADAudit Plus genererar de rapporter du behöver, när du behöver dem. Du kan köra dessa rapporter genom att navigera till rätt område inom lösningen. Med några få klick kan du se all säkerhetsloggrelaterad information du behöver tillsammans med intuitiva grafer och diagram.
Relaterade resurser
Inloggning och utloggning
- Hur man får den aktuella inloggade användaren på PowerShell
- Så här hittar du vilken dator en användare är inloggad på
- Hur man på distans kan se vilka användare som är inloggade i Windows
- Så här får du den aktuella inloggade användaren
- Hur man får användarinloggningshistorik med PowerShell
- Hämta inloggningar för Terminal Server
- Få en granskningsrapport om inloggnings- och utloggningsaktiviteter för AD-användarkonton
- Hur man får misslyckade inloggningsförsök med hjälp av powershell
- Hämta-rdusersession
- Hur man får den senast inloggade användarens fjärrdator med powershell
- Hur man hittar datorn som en användare loggade in på med hjälp av powershell
- Hur man får den senaste inloggningen av användaren med powershell
- Så här distribuerar du fjärrskrivbordstjänster med hjälp av Powershell
Spärrade konton
Händelseloggar för Windows
Granskning av filserver
- Så här övervakar du en Windows-mapp efter nya filer
- Hur man övervakar mappen för ändringar med hjälp av powershell
- Så här kontrollerar du mappbehörigheter med hjälp av powershell
- Powershell Filesystemwatcher - Spåra ändringar i filer och mappar
- NTFSSäkerhetsmodul powershell
- Hämta-filintegritet
- Hur man granskar failover-kluster med hjälp av powershell
- Hur man får filskapningsdatum med hjälp av powershell
- Hur man får den senast ändrade filen i katalogen med hjälp av powershell
- Powershell-skript för att hitta filer efter ägare
Granskning av Active Directory
- Hur man hittar vem som skapade ett AD-konto med hjälp av powershell
- Hur man granskar Active Directory med hjälp av powershell
- Hämta Active Directory-rapporter med hjälp av powershell
- Hur man hittar vem som raderade ett AD-objekt med hjälp av powershell
- Hur man kontrollerar Active Directory-hälsan med hjälp av powershell
- Hur man får privilegierat konto med hjälp av powershell
- Hämta GPO-rapporter utan powershell
- Hur man granskar LAPS-lösenord med hjälp av powershell
- Hur man får adfs-egenskaper med hjälp av powershell -ADAudit Plus
- Hur man granskar ändringar i Active Directory med hjälp av Powershell
- Hur man övervakar realtidsprocessen med hjälp av powershell
Azure AD
Server auditing
Computer start-ups and shut-downs