Hur man övervakar Windows-händelselogg med hjälp av powershell och ADAudit Plus
Övervakning av händelseloggar är viktigt för att få en helhetsbild över din organisations IT-miljö. Händelseloggar innehåller massvis av information om ändringar av filåtkomst, administrativa händelser, inloggningsaktiviteter och så vidare. Att spåra och registrera kritiska händelser som inträffar i en organisations nätverk är avgörande för att uppfylla säkerhetsgranskningar och krav på IT-efterlevnad.
Det följande är en jämförelse mellan förfaranden för övervakning av händelseloggar med hjälp av Windows PowerShell och ADAudit Plus:
PowerShell
Steg att ta för att övervaka händelselogg med hjälp av PowerShell:
- Definiera den domän som du vill samla in händelseloggarna för.
- Hitta LDAP-attributen som du behöver för att hämta loggarna.
- Kompilera skriptet.
- Kör den i Windows PowerShell
- De insamlade händelseloggarna kommer att exporteras i det angivna formatet.
- Om du vill exportera loggarna i ett annat filformat modifierar du skriptet i enlighet med detta.
Exempel på Windows PowerShell-skript
Följande cmdlet får händelser från lokal dator och spara de i .html-format.
Get-EventLog -ReportType HTML -Path 'Ange den plats där rapporten måste sparas, t.ex.: C:\EventLogReports\Report1.html'
Om du vill hämta händelseloggar från en fjärrdator anger du datornamnet.
Get-EventLog -ComputerName Namn på önskad dator -ReportType HTML -Path "Ange den plats där rapporten måste sparas, t.ex.: C:\remoteLogReports\Report1.html"
För att kunna spara rapporterna i xml-format ersätter du HTML med XML i ovanstående cmdlets.
Skriptet kan ändras för att generera rapporter med andra parametrar som t.ex. -Before, -After (För att få rapporter före och efter ett visst datum respektive en viss tid.), -EntryType (Denna parameter returnerar loggar baserat på händelsestatus, t.ex. varning, fel, information, lyckad granskning eller misslyckad granskning.) och så vidare.
ADAudit Plus
För att få rapporten,
ADAudit Plus analyserar alla säkerhetshändelser i Windows-miljön och presenterar den i form av intuitiva rapporter för smidig analys.Om du vill visa rapporter under olika kategorier navigerar du till fliken Rapporter i ADAudit Plus-konsolen.
- Välj obligatorisk "Domän" från alternativet i listrutan högst upp i höger hörn.
- Välj "Exportera som" för att exportera rapporten i något av de föredragna formaten (CSV, PDF, HTML och XLS).
ADAudit Plus gör det också möjligt för användare att generera anpassade rapporter.
Navigera till Analys -> Anpassade rapporter för att skapa anpassade rapporter.
Det självförklarande gränssnittet gör det möjligt för användare att välja parametrar att övervaka och inkludera i rapporten.
Rapporten som skapades av användaren går att få åtkomst till genom att klicka på knappen Visa anpassade rapporter. Rapporten kan också exporteras i något av de föredragna formaten (PDF, XLS, HTML och CSV) genom att välja alternativet "Exportera som".
Följande är begränsningarna när man erhåller rapporter från Eventlog med hjälp av inbyggda verktyg som Windows PowerShell:
- Vi kan endast köra detta skript från datorerna som har rollen Domäntjänster i Active Directory.
- För att kunna exportera rapporten i andra format behöver skriptet modifieras varje gång.
- Att tillämpa fler filter kommer att öka LDAP-frågans komplexitet.
- Vid identifiering av nödvändig information kan det vara besvärligt att förstå omfattande händelseloggdata.
ADAudit Plus kommer automatiskt att skanna alla DC:er i domänen för att hämta data från Eventlog, generera rapporten och presentera den i ett enkelt och intuitivt utformat användargränssnitt.
Relaterade resurser
Inloggning och utloggning
- Hur man får den aktuella inloggade användaren på PowerShell
- Så här hittar du vilken dator en användare är inloggad på
- Hur man på distans kan se vilka användare som är inloggade i Windows
- Så här får du den aktuella inloggade användaren
- Hur man får användarinloggningshistorik med PowerShell
- Hämta inloggningar för Terminal Server
- Få en granskningsrapport om inloggnings- och utloggningsaktiviteter för AD-användarkonton
- Hur man får misslyckade inloggningsförsök med hjälp av powershell
- Hämta-rdusersession
- Hur man får den senast inloggade användarens fjärrdator med powershell
- Hur man hittar datorn som en användare loggade in på med hjälp av powershell
- Hur man får den senaste inloggningen av användaren med powershell
- Så här distribuerar du fjärrskrivbordstjänster med hjälp av Powershell
Spärrade konton
Händelseloggar för Windows
Granskning av filserver
- Så här övervakar du en Windows-mapp efter nya filer
- Hur man övervakar mappen för ändringar med hjälp av powershell
- Så här kontrollerar du mappbehörigheter med hjälp av powershell
- Powershell Filesystemwatcher - Spåra ändringar i filer och mappar
- NTFSSäkerhetsmodul powershell
- Hämta-filintegritet
- Hur man granskar failover-kluster med hjälp av powershell
- Hur man får filskapningsdatum med hjälp av powershell
- Hur man får den senast ändrade filen i katalogen med hjälp av powershell
- Powershell-skript för att hitta filer efter ägare
Granskning av Active Directory
- Hur man hittar vem som skapade ett AD-konto med hjälp av powershell
- Hur man granskar Active Directory med hjälp av powershell
- Hämta Active Directory-rapporter med hjälp av powershell
- Hur man hittar vem som raderade ett AD-objekt med hjälp av powershell
- Hur man kontrollerar Active Directory-hälsan med hjälp av powershell
- Hur man får privilegierat konto med hjälp av powershell
- Hämta GPO-rapporter utan powershell
- Hur man granskar LAPS-lösenord med hjälp av powershell
- Hur man får adfs-egenskaper med hjälp av powershell -ADAudit Plus
- Hur man granskar ändringar i Active Directory med hjälp av Powershell
- Hur man övervakar realtidsprocessen med hjälp av powershell
Azure AD
Server auditing
Computer start-ups and shut-downs