Hur man övervakar säkerhetshändelseloggar med hjälp av powershell och ADAudit Plus
Get-EventLog är ett PowerShell-kommando som används för att hämta händelseloggar från en lokal dator eller fjärrdator. Det använder olika parametrar och egenskapsvärden för att samla in specifika händelser. Till exempel parametern "-list" som när den läggs till i Get-EventLog cmdlet visar de tillgängliga loggarna i form av en lista. Parametern "ComputerName" specificerar vilken fjärrdator att samla in loggar från. Denna metod kräver att du anger flera parametrar för att visa de händelser du vill ha och det är tidskrävande.
ADAudit Plus XXX ger dig en omfattande översikt över dina händelseloggar med bara några få klick. Jämförelsen nedan förklarar förfarandet för att hämta dina säkerhetshändelseloggar med hjälp av PowerShell och med hjälp av ADAudit Plus. Utöver en mängd olika djupgående rapporter har du också en kraftfull sökfunktion för att identifiera specifika händelser som gör det lättare för dig att spåra avvikande beteende.
Windows PowerShell
Steg att ta för att hämta säkerhetshändelseloggar i Windows PowerShell
- Definiera Get-eventlog cmdlet för att hämta händelseloggar. En parameter för detta cmdlet är "-list" som när den anges hämtar listan över händelseloggar som finns tillgängliga lokalt.
- Definiera specifikt vilken logg du vill hämta; i detta fall säkerhetsloggen. Om du inte specificerar denna parameter kommer du att få alla logghändelser från flera loggar.
- Definiera datumet och tidsramen för loggarna
- Kör skriptet.
Kod för att hämta säkerhetsloggar
$date = (get-date).adddays(-1) get-eventlog security | where \{$_.timewritten -gt $date\} | out-file c:\security.txtADAudit Plus
Steg att ta för att hämta säkerhetshändelser i ADAudit Plus
- Säkerhetsloggar omfattar flera händelser, t.ex. ändringar till fil eller AD-objekt, misslyckade kontoinloggningar eller kontoutloggningar, behörighetsändringar. Logga in på ADAudit Plus-webbkonsolen med hjälp av administratörsautentiseringsuppgifter.
- Du kan navigera till fliken "rapporter" och visa rapporterna om "användarinloggning" och "lokal inloggning/utloggning". Dessa flikar erbjuder dig ett antal händelserapporter. Du kan använda sökfilter för att hitta en viss händelse i rapporten.
- Du kan navigera till flikarna "filgranskning" och"servergranskning" för att kolla in filändringar eller "ändringar till mappbehörighet".
Skärmbilder:
Varför ADAudit Plus är den bättre lösningen för dig?
- Detaljerade rapporter om inloggningsaktivitet som gör att du kan ta en närmare titt på användaraktivitet.
- Skapa anpassade rapporter och få varningar i realtid.
- Listar en mängd olika förkonfigurerade rapporter så att du kan spåra ändringar i AD-objekt
- ADAudit Plus gör det möjligt för dig att enkelt exportera rapporter i önskat format med ett enda klick.
- Avancerade filteralternativ som gör att du slipper skapa komplexa LDAP-frågor.
Relaterade resurser
Inloggning och utloggning
- Hur man får den aktuella inloggade användaren på PowerShell
- Så här hittar du vilken dator en användare är inloggad på
- Hur man på distans kan se vilka användare som är inloggade i Windows
- Så här får du den aktuella inloggade användaren
- Hur man får användarinloggningshistorik med PowerShell
- Hämta inloggningar för Terminal Server
- Få en granskningsrapport om inloggnings- och utloggningsaktiviteter för AD-användarkonton
- Hur man får misslyckade inloggningsförsök med hjälp av powershell
- Hämta-rdusersession
- Hur man får den senast inloggade användarens fjärrdator med powershell
- Hur man hittar datorn som en användare loggade in på med hjälp av powershell
- Hur man får den senaste inloggningen av användaren med powershell
- Så här distribuerar du fjärrskrivbordstjänster med hjälp av Powershell
Spärrade konton
Händelseloggar för Windows
Granskning av filserver
- Så här övervakar du en Windows-mapp efter nya filer
- Hur man övervakar mappen för ändringar med hjälp av powershell
- Så här kontrollerar du mappbehörigheter med hjälp av powershell
- Powershell Filesystemwatcher - Spåra ändringar i filer och mappar
- NTFSSäkerhetsmodul powershell
- Hämta-filintegritet
- Hur man granskar failover-kluster med hjälp av powershell
- Hur man får filskapningsdatum med hjälp av powershell
- Hur man får den senast ändrade filen i katalogen med hjälp av powershell
- Powershell-skript för att hitta filer efter ägare
Granskning av Active Directory
- Hur man hittar vem som skapade ett AD-konto med hjälp av powershell
- Hur man granskar Active Directory med hjälp av powershell
- Hämta Active Directory-rapporter med hjälp av powershell
- Hur man hittar vem som raderade ett AD-objekt med hjälp av powershell
- Hur man kontrollerar Active Directory-hälsan med hjälp av powershell
- Hur man får privilegierat konto med hjälp av powershell
- Hämta GPO-rapporter utan powershell
- Hur man granskar LAPS-lösenord med hjälp av powershell
- Hur man får adfs-egenskaper med hjälp av powershell -ADAudit Plus
- Hur man granskar ändringar i Active Directory med hjälp av Powershell
- Hur man övervakar realtidsprocessen med hjälp av powershell
Azure AD
Server auditing
Computer start-ups and shut-downs