Powershell ve ADAudit Plus Kullanarak Windows Olay Günlüğünü İzleme
Olay günlüklerinin izlenmesi, kuruluşunuzun BT ortamının sağlıklı bir resmini elde etmek için çok önemlidir. Olay günlükleri, dosya erişim değişiklikleri, yönetimsel olaylar, oturum açma etkinliği vb. hakkında bol miktarda bilgi sağlar. Bir kuruluşun ağında meydana gelen kritik olayların izlenmesi ve kaydedilmesi, güvenlik incelemelerini ve BT uyumluluk gereksinimlerini karşılamak için kritik öneme sahiptir.
Aşağıda, Windows PowerShell ve ADAudit Plus kullanarak olay günlüklerini izleme prosedürleri arasında bir karşılaştırma yer almaktadır:
PowerShell
PowerShell kullanarak olay günlüğünü izleme adımları:
- Olay günlüklerini toplamak istediğiniz etki alanını tanımlayın.
- Günlükleri getirmek için ihtiyacınız olan LDAP özniteliklerini bulun.
- Betiği derleyin.
- Windows PowerShell'de yürüt
- Toplanan olay günlükleri, belirtilen biçimde dışarı aktarılacaktır.
- Günlükleri farklı bir dosya biçiminde dışarı aktarmak için betiği uygun şekilde değiştirin.
Örnek Windows PowerShell betiği
Aşağıdaki cmdlet, yerel bilgisayardan olayları alır ve .html biçiminde kaydeder.
Get-EventLog -ReportType HTML -Yol 'Raporun kaydedilmesi gereken konumu belirtin, Örn.: C:\EventLogReports\Report1.html'
Olay günlüklerini bir uzak bilgisayardan getirmek için bilgisayar adını belirtin.
Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Yol "Raporun kaydedilmesi gereken konumu belirtin, Örn.: C:\remoteLogReports\Report1.html"
Raporları xml biçiminde kaydetmek için yukarıdaki cmdlet'lerde HTML’yi XML ile değiştirin.
Betik, -Before, -After (Sırasıyla belirli bir tarih ve saatten önce ve sonra raporları almak için), -EntryType (Bu parametre, uyarı, hata, bilgi, denetim başarısı veya denetim hatası gibi olay durumuna göre günlükleri döndürür) ve benzeri diğer parametrelerle raporlar oluşturmak için değiştirilebilir.
ADAudit Plus
Raporu almak için,
ADAudit Plus, Windows ortamındaki tüm güvenlik olaylarını analiz eder ve kesintisiz analiz için sezgisel raporlar şeklinde sunar.Raporları farklı kategoriler altında görüntülemek için ADAudit Plus konsolunda Raporlar sekmesinde gezinin.
- Sağ üst köşedeki açılır seçenekten gerekli 'Etki Alanı'nı seçin.
- Raporu tercih edilen biçimlerden herhangi birinde (CSV, PDF, HTML ve XLS) dışarı aktarmak için 'Farklı dışa aktar'ı seçin.
ADAudit Plus, ayrıca kullanıcıların özel raporlar oluşturmasına da olanak tanır.
Özel raporlar oluşturmak için Analiz -> Özel Raporlar bölümünde gezinin.
Kendinden açıklayıcı kullanıcı arayüzü, kullanıcıların izlenecek ve rapora dahil edilecek parametreleri seçmesine olanak tanır.
Kullanıcı tarafından oluşturulan rapora Özel Raporları Görüntüle düğmesine tıklayarak erişilebilir. Rapor ayrıca 'Farklı Dışa Aktar' seçeneği belirlenerek tercih edilen biçimlerden herhangi birinde (PDF, XLS, HTML ve CSV) dışarı aktarılabilir.
Windows PowerShell gibi yerel araçları kullanarak Eventlog’dan raporlar almak için sınırlamalar aşağıda verilmiştir:
- Bu betiği yalnızca Active Directory Etki Alanı Hizmetleri rolüne sahip bilgisayarlardan çalıştırabiliriz.
- Raporu diğer biçimlerde dışarı aktarmak için, betiğin her seferinde değiştirilmesi gerekir.
- Daha fazla filtre uygulamak, LDAP sorgusunun karmaşıklığını artıracaktır.
- Gerekli bilgileri tanımlamak için çok büyük olay günlüğü verilerini anlamak külfetli olabilir.
ADAudit Plus, Eventlog’dan verileri almak, raporu oluşturmak ve basit ve sezgisel olarak tasarlanmış bir kullanıcı arayüzünde sunmak için etki alanındaki tüm DC'leri otomatik olarak tarayacaktır.