Olay günlüklerini analiz ederek raporlar oluşturma

Olay günlükleri yöneticilerin ağlarındaki etkinlikleri izlemelerine yardımcı olabilir. Active Directory'deki olay günlükleri Olay Görüntüleyici kullanılarak görüntülenebilir. Ancak olay günlüklerini analiz ederek raporlar oluşturmanız gerektiğinde, ek araçlara ihtiyacınız olacaktır: Windows PowerShell veya ADAudit Plus gibi başka bir Windows günlük analizi aracı

Windows PowerShell yalnızca gerekli günlükleri listeleyebilirken, ADAudit Plus kaynaktan gelen günlükleri bir API kullanarak işler, analiz eder ve çok kısa bir süre içinde kapsamlı ve kullanıcı dostu raporlar oluşturur. Pakete dahil olarak sunulan 200'ün üzerinde rapor ihtiyaçlarınızı tam olarak karşılamıyorsa, özel raporlar da oluşturabilirsiniz. Burada Windows PowerShell ve ADAudit Plus aracılığıyla olay günlüğü raporlarının alınmasına ilişkin bir karşılaştırma bulunmaktadır.

Windows PowerShell'in Kullanımı

  • İlgili etki alanını tanımlayın.
  • Günlüklerine ihtiyaç duyduğunuz olayları tanımlayın.
  • İlgilendiğiniz olay günlüklerinin bulunduğu DC'yi tanımlayın.
  • Komut dosyasını derleyin.
  • Bunu Windows PowerShell'de yürütün.
  • Rapor belirtilen biçimde dışa aktarılacaktır.
  • Raporu farklı bir biçimde dışa aktarmak için komut dosyasını buna göre değiştirin.

Burada örnek bir komut dosyası verilmiştir:

Get-EventLog -LogName security -ComputerName Server 1 | Where-Object {$_.EventID -eq 4624} | Select-Object -Property * Export-CSV “C:\Temp\UserLogonEventLog .CSV” -NoTypeInformation
 Kopyalandı
Komut dosyasının tamamını kopyalamak için tıklayın

ADAudit Plus Kullanarak

  • Görüntülemek istediğiniz raporu seçmek için Raporlar sekmesine tıklayın.
  • İlgili etki alanını ve OU'yu seçin.
  • Raporu listelenen çeşitli biçimlerde (CSV, PDF, HTML, CSVDE, XLSX) dışa aktarmak için Dışa Aktar öğesine tıklayın.

Burada bir örnek En Son Kullanıcı Oturumu Açma Etkinliği raporunun bir ekran görüntüsü verilmektedir -

powershell-windows-event-log-1
 

Etki alanından getevent günlüklerini almak için Windows PowerShell'in kullanılmasına dair sınırlamalar aşağıdaki gibidir:

  • Bu komut dosyasını sadece Active Directory Etki Alanı Hizmetlerine rolüne sahip bilgisayarlardan çalıştırabilmekteyiz.
  • Tarih biçimlerini değiştirmek, komut dosyasını değiştirmenizi gerektirir.
  • Raporun diğer biçimlerde dışa aktarılması zordur.
  • Daha fazla filtre uygulamak komut dosyasının karmaşıklık düzeyinde artış olmasına yol açacaktır.

Bir diğer yandan, ADAudit Plus, tüm DC'leri tarayarak hızlı bir şekilde raporlar oluşturacaktır ve bu raporlar birden fazla biçimde dışa aktarılabilir.

  • Karmaşık PowerShell komut dosyalarından kaçının ve ADAudit Plus ile AD değişiklik denetimini basitleştirin
  • Ücretsiz Denemenizi Alın

İlgili Kaynaklar