Comment générer et exporter un rapport sur l'historique des connexions des utilisateurs
» Comment générer et exporter un rapport sur l'historique des connexions des utilisateurs

Comment générer et exporter un rapport sur l'historique des connexions des utilisateurs

Pour réaliser des pistes d'audit des utilisateurs, les administrateurs souhaitent souvent connaître l'historique des connexions des utilisateurs. Cela les aidera grandement à déterminer les comportements utilisateurs en matière de connexion. Bien que ces informations puissent être obtenues à l'aide de Windows PowerShell, l’écriture, la compilation, l’exécution et la modification des scripts de façon à répondre à des exigences granulaires spécifiques sont des processus fastidieux.

Une solution d'audit d'Active Directory (AD) telle que ManageEngine ADAudit Plus aide les administrateurs à faciliter ce processus en fournissant des rapports prêts à l'emploi sur cet événement et d'autres événements de sécurité critiques. Vous trouverez ci-dessous une comparaison entre l'obtention d'un rapport sur l'historique des connexions d'un utilisateur AD avec Windows PowerShell et ADAudit Plus :

PowerShell

Étapes permettant d'identifier les ordinateurs sur lesquels un utilisateur est connecté à l'aide de PowerShell :

  • Identifiez le domaine à partir duquel vous voulez récupérer le rapport.
  • Identifiez les attributs LDAP dont vous avez besoin pour obtenir le rapport.
  • Identifiez le DC primaire pour récupérer le rapport.
  • Compilez le script.
  • Exécutez-le dans Windows PowerShell.
  • Le rapport sera exporté dans le format donné.
  • Pour obtenir le rapport dans un autre format, modifiez le script.

Exemple de script Windows PowerShell

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}
 Copied
Cliquez pour copier tout le script

ADAudit Plus

Pour obtenir le rapport,

  • Connectez-vous à la console web ADAudit Plus en tant qu’administrateur.
  • Naviguez jusqu'à l'onglet Rapports, cliquez sur la section Rapports de connexion des utilisateurs dans le volet de gauche puis sélectionnez le rapport Activité de connexion des utilisateurs.
  • Sélectionnez le domaine et les objets spécifiques que vous souhaitez interroger, le cas échéant.
  • Sélectionnez « Exporter en tant que » pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).

Capture d'écran

powershell -get-user-login-history-1
 

Voici les limitations pour obtenir le rapport de l'historique des connexions de chaque utilisateur en utilisant des outils natifs comme Windows PowerShell :

  • Tous les événements locaux de connexion et de déconnexion sont enregistrés uniquement dans le journal de sécurité des ordinateurs individuels (postes de travail ou serveurs Windows) et non sur les contrôleurs de domaine (DC).
  • Les événements de connexion enregistrés sur les DC ne contiennent pas suffisamment d'informations pour distinguer les différents types de connexion, à savoir, Interactive, Interactive à distance, Réseau, Lot, Service, etc.
  • Les événements de déconnexion ne sont pas enregistrés sur les DC. Ces informations sont essentielles pour déterminer la durée de connexion d’un utilisateur particulier.

Cela signifie que vous devez collecter des informations auprès des DC ainsi que des stations de travail et autres serveurs Windows pour obtenir une vue d'ensemble complète de toutes les activités de connexion et de déconnexion au sein de votre environnement. Il s'agit d'un processus laborieux et répétitif pour les administrateurs système.

ADAudit Plus génère le rapport sur l'historique des connexions des utilisateurs en analysant automatiquement tous les DC du domaine pour récupérer l'historique de connexion des utilisateurs et l'afficher à l’aide d’une interface utilisateur simple et intuitive.

  • Créez des scripts PowerShell, et simplifiez la vérification des changements AD avec ADAudit Plus.
  •  
  • En cliquant sur « Obtenir votre évaluation gratuite maintenant, », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.
  •  
  • Merci du téléchargement !
  • Votre téléchargement doit commencer automatiquement dans 15 secondes. Sinon, cliquez ici pour télécharger manuellement.