PowerShell ve ADAudit Plus Kullanarak Dizindeki Son Değiştirilen Dosyayı Alma

Dosya değişikliklerinin sürekli olarak izlenmesi, yetkilendirilmemiş değişiklikleri takip etmek ve anormal dosya erişimlerini tanımlamak için gereklidir. BT yöneticilerinin, yalnızca uyumluluk gereksinimlerini yerine getirmek için değil, aynı zamanda harici ve dahili veri ihlallerine karşı korumak için kritik dosyalarda yapılan tüm değişiklikleri takip etmesi gerekir

Aşağıda, PowerShell ve ADAudit Plus ile Windows dosya sunucusunda son değiştirilen dosyayı alma prosedürleri arasında bir karşılaştırma yer almaktadır.

PowerShell

PowerShell kullanarak dizindeki son değiştirilen dosyayı alma

Raporu almak istediğiniz etki alanını tanımlayın.
Raporu getirmek için ihtiyacınız olan LDAP özniteliklerini bulun.
Raporu almak için birincil DC'yi tanımlayın.
Betiği derleyin.
Windows PowerShell'de yürüt
Rapor belirtilen biçimde dışarı aktarılacaktır.
Raporu farklı bir biçimde almak için betiği uygun şekilde değiştirin.

Örnek Windows PowerShell betiği

Aşağıdaki betik, dosyaların değiştirildiği zamanla birlikte son '1' gün içinde 'Günlükler' klasöründe değiştirilmiş dosyaların ve ilgili alt klasörlerin adını getirir.

$path="C:\Windows\Temp" $NoOfDirs=Get-ChildItem $path | Where-Object {$_.PSIsContainer -eq $True} ForEach($dir in $NoOfDirs ) { Get-ChildItem "$path\$($dir.name)" -Recurse | Where-Object {($_.LastWriteTime -gt ([DateTime]::Now.Adddays(-1))) -and ($_.PSIsContainer -eq $False) } | Select-Object @{l='Folder';e={$dir.Name}},Name,LastWriteTime | Sort-Object -pro LastWriteTime -Descending | Select -First 1 } Out-File -FilePath C:\Windows\Logs\Report1.html

Kopyalandı

Tüm betiği kopyalamak için tıklayın

(Raporun kaydedilmesi gereken konumu belirtin)

Farklı bir klasörde en son değiştirilen dosyaları elde etmek için, betikte uygun klasör yolunu belirtin.

$path="Desired folder path"

Rapor, aynı şekilde değiştirilerek.csv veya .txt biçiminde getirilebilir.

Out-File -FilePath C:\Windows\Logs\Report1.csv

Örnek çıktı:

powershell-get-last-modified-file-in-directory-4

ADAudit Plus

ADAudit Plus kullanarak dizindeki son değiştirilen dosyayı alma adımları

Dosya Denetimi -> Dosya Denetim Raporları -> Değiştirilen Dosyalar bölümünde gezinin.
Sağ üst köşedeki açılır seçenekten gerekli 'Etki Alanı'nı seçin.
Raporu tercih edilen biçimlerden herhangi birinde (CSV, PDF, HTML ve XLS) dışarı aktarmak için 'Farklı Dışa Aktar'ı seçin.

powershell-get-last-modified-file-in-directory-1

powershell-get-last-modified-file-in-directory-2

powershell-get-last-modified-file-in-directory-3

Dosya adına ve değişiklik zamanına ek olarak, AD Audit Plus tarafından sağlanan ayrıntılardan bazıları şunlardır:

Dosyayı kimin değiştirdiği.
Dosyanın bulunduğu etki alanı ve sunucu.
Dosya türü.
İstemci IP'si ve makine adı.
Erişim türü.

Windows PowerShell gibi yerel araçları kullanarak son değiştirilen dosya hakkında bir rapor almak için sınırlamalar aşağıda verilmiştir:

Bu betiği yalnızca Active Directory Etki Alanı Hizmetleri rolüne sahip bilgisayarlardan çalıştırabiliriz.
Farklı klasörlerdeki son değiştirilen dosyayı izlemek için PowerShell kodunun her seferinde yürütülmesi gerekir. Bir etki alanındaki yüzlerce (veya daha fazla) klasörü izlerken klasör yolunu her seferinde değiştirmek neredeyse imkansızdır.
Daha fazla filtre uygulamak, LDAP sorgusunun karmaşıklığını artıracaktır.
Raporu diğer biçimlerde dışarı aktarmak için, betiğin her seferinde değiştirilmesi gerekir.
Farklı tarih biçimlerinde ve saat dilimlerinde rapor almak zor olabilir.

ADAudit Plus, son değiştirilen dosya hakkında bilgi almak, raporu oluşturmak ve basit ve sezgisel olarak tasarlanmış bir kullanıcı arayüzünde sunmak için etki alanındaki tüm DC'leri otomatik olarak tarayacaktır.