Kullanıcı oturum açma geçmişi raporunu oluşturma ve dışarı aktarma

Kullanıcı denetim kayıtlarını yürütmek için, yöneticiler genellikle kullanıcı oturum açma geçmişini bilmek isterler. Bu, oturum açmalarla ilgili kullanıcı davranışlarını tespit etmelerine büyük ölçüde yardımcı olacaktır. Bu bilgiler Windows PowerShell kullanılarak elde edilebilse de, belirli ayrıntılı gereksinimleri karşılamak için komut dosyalarını yazmak, derlemek, yürütmek ve değiştirmek zahmetli bir işlemdir.

ManageEngine ADAudit Plus gibi Active Directory (AD) denetim çözümü, bu ve diğer çeşitli kritik güvenlik olayları hakkında erişime hazır raporlar sağlayarak yöneticilerin bu işlemi kolaylaştırmasına yardımcı olacaktır. Aşağıda, Windows PowerShell ve ADAudit Plus ile bir AD kullanıcısının oturum açma geçmişi raporunun alınması arasındaki karşılaştırma yer almaktadır:

PowerShell

PowerShell kullanarak kullanıcı oturum açma geçmişini alma adımları:

Raporu almak istediğiniz etki alanını tanımlayın.
Raporu getirmek için ihtiyacınız olan LDAP özniteliklerini tanımlayın.
Raporu almak için birincil DC'yi tanımlayın.
Betiği derleyin.
Windows PowerShell'de yürütün.
Rapor belirlenen biçimde dışarı aktarılacaktır.
Raporu farklı bir biçimde almak için betiği değiştirin.

Örnek Windows PowerShell betiği

# Active Directory'den DC listesini bulun $DCs = Get-ADDomainController -Filter * # Rapor için zaman tanımlayın (varsayılan 1 gündür) $startDate = (get-date).AddDays(-1) # Güvenlik günlüklerindeki başarılı oturum açma olaylarını belirtilen tarihler ve iş istasyonu/IP ile her birini bir dizide saklayın ($DC in $DCs){ $slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }} # Olaylarda gezinin; tüm oturum açma geçmişini tür, tarih/saat, durum, hesap adı, bilgisayar ve kullanıcı her biri için uzaktan oturum açtıysa IP adresiyle birlikte yazdırın ($e in $slogonevents){ # Logon Successful Events # Local (Logon Type 2) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){ write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] } # Remote (Logon Type 10) if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){ write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18] }}

Kopyalandı

Tüm betiği kopyalamak için tıklayın

ADAudit Plus

Raporu almak için,

ADAudit Plus web konsolunda yönetici olarak oturum açın.
Raporlar sekmesinde gezinin, sol bölmedeki Kullanıcı Oturum Açma Raporları bölümüne tıklayın ve Kullanıcı Oturumu Açma Etkinliği raporunu seçin.
Etki alanını ve varsa sorgulamak istediğiniz belirli nesneleri seçin.
Raporu tercih edilen biçimlerden herhangi birinde (CSV, PDF, HTML, CSVDE ve XLSX) dışarı aktarmak için Farklı Dışa Aktar’ı seçin.

Ekran görüntüsü

Windows PowerShell gibi yerel araçları kullanarak her kullanıcının oturum açma geçmişi raporunu almak için sınırlamalar aşağıda verilmiştir:

Tüm yerel oturum açma ve kapatma ile ilgili olaylar, etki alanı denetleyicilerinde (DC'ler) değil, yalnızca bağımsız bilgisayarların (iş istasyonları veya Windows sunucuları) güvenlik günlüğüne kaydedilir.
DC'lerde kaydedilen oturum açma olayları, Etkileşimli, Uzaktan Etkileşimli, Ağ, Toplu İş, Hizmet vb. gibi çeşitli oturum açma türlerini ayırt etmek için yeterli bilgi içermemektedir.
DC'lerde oturum kapatma olayları kaydedilmez. Bu bilgi, belirli bir kullanıcının oturum açma süresinin belirlenmesinde çok önemlidir.

Bu, ortamınızdaki tüm oturum açma ve kapatma etkinliklerine ilişkin eksiksiz bir genel bakış elde etmek için DC'lerin yanı sıra iş istasyonları ve diğer Windows sunucularından da bilgi toplamanız gerektiği anlamına gelir. Bu, sistem yöneticileri için zahmetli ve sıradan bir işlemdir.