Güvenlik olay günlüklerine erişim

BT yöneticilerinin güvenlik olaylarını türe göre alması, özelliklere göre filtrelemesi ve bulguları raporlaması gerekir. Bu sayede kötü amaçlı etkinlikleri takip edebilir ve Active Directory'nin beklendiği gibi çalıştığından emin olabilirler.

Bu makalede, BT yöneticilerinin PowerShell ve ADAudit Plus kullanarak güvenlik olay günlüklerinin listesini nasıl alabilecekleri karşılaştırılmaktadır.

Windows PowerShell

Güvenlik olay günlüklerinin listesini alma adımları.

  • Raporu almak istediğiniz etki alanını tanımlayın.
  • Raporu getirmek için ihtiyacınız olan LDAP özniteliklerini tanımlayın.
  • Raporu almak için birincil DC'yi tanımlayın.
  • Betiği derleyin.
  • Windows PowerShell'de yürütün.

Örnek Windows PowerShell betiği

get-eventlog security

Bu, tüm güvenlik günlüklerinin listesini verecektir

get-eventlog security -newest 50

Bu, en son 50 güvenlik olay günlüğünün listesini verecektir.

get-eventlog security -newest 100 | where \{$_.entrytype -eq ` "FailureAudit"\}

Bu, olay hatalarına ilişkin en son 100 güvenlik olay günlüğünü verir.

Örnek çıktı:

powershell-getevent-log-security-1

ADAudit Plus

Raporu almak için,

  • ADAudit Plus web konsolunda yönetici olarak oturum açın.
  • Sol bölmede 20'den fazla farklı rapor kategorisini görüntülemek için Raporlar sekmesinde gezinin.
  • Bu kategorilerin her birinin altında, mantıklı bir şekilde düzenlenmiş çok sayıda rapor bulacaksınız.
  • Belirli bir raporu görüntülemek için, raporda gezinin veya anahtar sözcükleri kullanarak raporları aramak için “/” kullanın.
  • Örneğin, oturum açma hatalarıyla ilgili bir rapor görüntülemek için Raporlar -> Kullanıcı Oturum Açma Raporları -> Oturum Açma Hataları bölümünde gezinin
  • Raporu tercih edilen biçimlerden herhangi birinde (CSV, PDF, HTML, CSVDE ve XLSX) dışarı aktarmak için Farklı Dışa Aktar seçeneğini kullanabilirsiniz.
powershell-getevent-log-security-2

Windows PowerShell gibi yerel araçları kullanarak iş istasyonlarında son oturum açma raporu almak için sınırlamalar aşağıda verilmiştir:

  • Betik, yalnızca Active Directory Etki Alanı Hizmetleri rolüne sahip bilgisayarlardan yürütülebilir.
  • Tarih biçimlerini değiştirmek ve tarih sonuçlarına farklı saat dilimleri uygulamak zordur.
  • Bulguları farklı bir dosya biçiminde raporlamanız gerekiyorsa, farklı bir betik yazmanız gerekecektir.
  • OU veya 'Kullanıcı adı şununla başlar' gibi daha fazla filtre uygulamak, LDAP sorgu karmaşıklığını artıracaktır.
  • Bulguları sezgisel veya interaktif bir biçimde raporlamaz. Yalnızca sorulan bilgileri listeler ve daha ince ayrıntılara inme seçeneği yoktur.

ADAudit Plus, ihtiyaç duyduğunuzda seçtiğiniz raporları oluşturacaktır. Çözüm içinde doğru alanda gezinerek bu raporları çalıştırabilirsiniz. Birkaç tıklamayla, sezgisel grafikler ve çizelgelerle birlikte ihtiyacınız olan tüm güvenlik günlüğü ile ilgili bilgileri görebilirsiniz.

  • Karmaşık PowerShell komut dosyalarından kaçının ve ADAudit Plus ile AD değişiklik denetimini basitleştirin
  • Ücretsiz Denemenizi Alın

İlgili Kaynaklar