PowerShell ve ADAudit Plus ile güvenlik olay günlüklerine erişim

Get-EventLog, olay günlüklerini bir yerel ya da uzak bilgisayardan getirmek için kullanılan bir PowerShell komutudur. Belirli olayları toplamak için çeşitli parametreler ve özellik değerlerini kullanır. Örneğin; '-list' parametresi Get-EventLog cmdlet'ine eklendiğinde, kullanılabilecek günlükleri liste biçiminde gösterir. 'ComputerName' parametresi, günlüklerin hangi uzak bilgisayardan alınacağını belirtir. Bu yöntem, istediğiniz olayları görüntülemek için birden fazla parametre belirtmenizi gerektirir ve zaman alıcıdır.

ADAudit Plus, yalnızca birkaç tıkla olay günlüklerinize kapsamlı bir bakış elde etmenizi sağlar. Aşağıdaki karşılaştırma, güvenlik olay günlüklerini PowerShell ve ADAudit Plus kullanarak alma prosedürünü açıklamaktadır. Çeşitli ayrıntılı raporların yanı sıra, belirli olayları tanımlayan ve anormal davranışları izlemenizi kolaylaştıran güçlü bir arama işlevi de sunulmaktadır.

Windows PowerShell

Güvenlik olaylarını Windows PowerShell'de almanın adımları

  • Olay günlüklerini almak için Get-eventlog cmdlet'ini tanımlayın. Bu cmdlet'in bir parametresi de belirtildiğinde yerel olarak kullanılabilecek olay günlüklerinin listesini getiren '-list' parametresidir.
  • Özellikle almak istediğiniz günlüğü tanımlayın; bu örnekte, güvenlik günlüğünü almak istiyorsunuz. Bu parametrenin belirtilmemesi, birden fazla günlükteki tüm günlük olaylarını getirir.
  • Günlükler için tarih ve zaman dilimini tanımlayın
  • Komut dosyasını yürütün.

Güvenlik günlüklerini almak için kod

$date = (get-date).adddays(-1) get-eventlog security | where \{$_.timewritten -gt $date\} | out-file c:\security.txt
 Kopyalandı
Komut dosyasının tamamını kopyalamak için tıklayın

ADAudit Plus

Güvenlik olaylarını ADAudit Plus'ta almanın adımları

  • Güvenlik günlükleri, dosya veya AD nesnesi değişiklikleri, hesap oturum açma veya oturum kapatma hataları, izin değişiklikleri gibi birden fazla olayı içerir. Yönetici kimlik bilgilerini kullanarak ADAudit Plus web konsolunda oturum açın.
  • 'Raporlar' sekmesine gidebilir ve 'kullanıcı oturum açma' ve 'yerel oturum açma - kapatma' raporlarını görüntüleyebilirsiniz. Bu sekmeler size bir dizi etkinlik raporu sunar. Rapordaki belirli bir olayı bulmak için arama filtrelerini kullanabilirsiniz.
  • Ayrıca, dosya değişikliklerini veya 'klasör izin değişikliklerini' kontrol etmek için 'dosya denetimi' ve 'sunucu denetimi' sekmelerinde gezinebilirsiniz.

Ekran görüntüleri:

powershell-security-log-audit-1
powershell-security-log-audit-2
powershell-security-log-audit-3

ADAudit Plus'ın sizin için daha iyi bir çözüm olmasının nedeni nedir?

  • Kullanıcı etkinliğine yakın bir bakış sunan ayrıntılı oturum açma etkinliği raporları.
  • Özel raporlar oluşturun ve gerçek zamanlı uyarılar alın.
  • AD nesnelerinde yapılan değişiklikleri takip edebilmenizi sağlayacak önceden yapılandırılmış çeşitli raporları listeler
  • ADAudit Plus, raporları istediğiniz biçimde tek tıkla, kolayca dışa aktarmanıza olanak tanır.
  • Sizi karmaşık LDAP sorguları oluşturma zahmetinden kurtarmak için gelişmiş filtre seçenekleri.
  • Karmaşık PowerShell komut dosyalarından kaçının ve ADAudit Plus ile AD değişiklik denetimini basitleştirin
  • Ücretsiz Denemenizi Alın

İlgili Kaynaklar