Azure AD raporları Powershell kullanılarak nasıl alınır?
Azure Active Directory denetim günlükleri (işlemler) ve oturum açma günlükleri (kimlik doğrulama verileri), Azure AD içinde gerçekleştirilen tüm değişiklikleri ve oturum açma etkinliklerini izlemenize yardımcı olur. Aynı verileri raporlama için Azure AD PowerShell cmdlet'lerini kullanarak da alabilirsiniz. Alternatif olarak, işleri sizin için kolaylaştıracak olan ADAudit Plus gibi kapsamlı bir AD denetim çözümünü kullanabilirsiniz.
Bu makalede, Windows PowerShell ve ADAudit Plus kullanılarak Azure AD denetim raporlarının ve oturum açma günlüklerinin alınma yöntemi ile ilgili bir karşılaştırma sunulmaktadır.
Windows PowerShell
PowerShell kullanarak Azure AD denetimini ve oturum açma günlüklerini izleme adımları:
- Azure AD içindeki denetim günlüklerini getirmek için Get-AzureADAuditDirectoryLogs cmdlet'ini kullanabiliriz.
- Denetim günlükleri; tarihler, kullanıcılar, uygulamalar veya belirli bir kaynağı içeren günlükler gibi parametrelere göre alınabilir.
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
- Azure AD'de oturum açma günlükleri hakkında raporlar almak için Get-AzureADAuditSignInLogs cmdlet'i kullanılır.
- Belirli bir durum için tarih, kullanıcı, konum ve günlük gibi benzer parametreler alınabilir.
PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"
ADAudit Plus
Raporu elde etmek için,
- ADAudit Plus web konsolunda oturum açın.
- Raporlar sekmesi > Azure AD Sekmesi > Kullanıcı Oturum Açma Raporları alanına gidin.
- Kullanıcı Oturum Açma Raporları kısmında aşağıdaki raporları bulacaksınız:
- Oturum Açma Etkinliği
- Oturum Açma Hataları
- Kötü parola nedenli Oturum Açma Hataları
- IP Adresine göre Oturum Açma Etkinliği
- Karma Oturum Açma Etkinliği
- Uygulamalara Göre Oturum Açma Etkinliği Bu raporların her biri ihtiyaçlarınıza göre ekstradan filtrelenebilir.
- Etki alanını seçin.
- Raporu tercih edilen biçimlerden (CSV, PDF, HTML, CSVDE ve XLSX) herhangi birinde dışa aktarmak için Farklı dışa aktar seçimini yapın.
Ekran görüntüsü:
Azure AD denetim ve oturum açma günlüklerini oluşturmak için Windows PowerShell'i kullanmanın sınırlamaları aşağıdadır:
- Yukarıdaki komut dosyasını sadece Active Directory Etki Alanı Hizmetlerine rolünün bulunduğu bilgisayarlardan çalıştırabilmekteyiz.
- Tarih biçimlerini değiştirmek ve tarih sonuçlarına farklı saat dilimleri uygulamak için her seferinde komut dosyasının değiştirilmesi veya oluşturulması gerekir.
- Raporu diğer biçimlerde dışa aktarmak zordur.
- 'Çalışma saatleri içinde', 'Dönem' ve 'Farklı dışa aktar' gibi daha fazla filtre uygulamak LDAP sorgusunun karmaşıklık düzeyini artıracaktır.
Bir diğer yandan, ADAudit Plus, tüm DC'leri tarayarak hızlı bir şekilde raporlar oluşturacaktır ve bu raporlar birden fazla biçimde dışa aktarılabilir.