Come accedere ai registri degli eventi di sicurezza

Gli amministratori IT devono poter raccogliere gli eventi di sicurezza suddividendoli per tipo e filtrandoli in base alle proprietà e ai risultati dei report. Ciò consente loro di restare sempre al passo con le attività degli utenti malintenzionati e di assicurarsi che Active Directory sia sempre pienamente funzionante.

Questo articolo confronta i metodi a disposizione degli amministratori IT per ottenere l’elenco dei registri degli eventi di sicurezza usando PowerShell e ADAudit Plus.

Windows PowerShell

Procedura per ottenere l’elenco dei registri degli eventi di sicurezza.

Identificare il dominio da cui desideri recuperare il report.
Identificare gli attributi LDAP di cui necessiti per recuperare il report.
Identificare il DC primario per recuperare il report.
Compilare lo script.
Eseguirlo in Windows PowerShell.

Script di esempio per Windows PowerShell

get-eventlog security

Questo elemento fornisce l'elenco di tutti i registri di protezione

get-eventlog security -newest 50

Questo elemento fornisce l'elenco dei 50 registri degli eventi di sicurezza più recenti.

get-eventlog security -newest 100 |
  where \{$_.entrytype -eq `
    "FailureAudit"\}

Questo elemento fornisce i 100 registri degli eventi di sicurezza più recenti che riguardano degli eventi di errore.

Output di esempio:

ADAudit Plus

Per ottenere il report,

Accedere alla console web di ADAudit Plus come amministratore.
Navigare fino alla scheda “Report” per visualizzare oltre 20 diverse categorie di report sul pannello di sinistra.
Aprendo ognuna di queste categorie, troverai una moltitudine di report organizzati in modo logico.
Per visualizzare un report in particolare, basta navigare fino a tale report usare “/” per cercare un report tramite delle parole chiave.
Ad esempio, per visualizzare un report sugli accessi non riusciti, navigare fino a Report -> Report accessi utenti -> Accessi non riusciti
È possibile utilizzare l'opzione Esporta come per esportare il report in qualsiasi formato desiderato: CSV, PDF, HTML, CSVDE e XLSX.

Di seguito sono elencate le limitazioni nell’ottenere il report dell’ultimo accesso su workstation tramite strumenti nativi come Windows PowerShell:

Lo script può essere eseguito solo da computer che dispongono del ruolo Active Directory Domain Services.
Si incontrano difficoltà nel cambio di formato della data e nell’applicare fusi orari diversi ai risultati della data.
In caso si voglia un report dei risultati in un formato file differente, sarà necessario modificare lo script.
L'applicazione di molteplici filtri, come UO o "Il nome utente inizia con", aumenterà la complessità della query LDAP.
Non crea un report dei risultati facile da consultare o in formato interattivo. Elenca solo le informazioni richieste, senza un’opzione per estrarre dettagli più precisi.

ADAudit Plus genera i report che scegli, proprio quando ne hai bisogno. Puoi avviare l’esecuzione di un report navigando nell’area destra dell’interfaccia della soluzione software. Con pochi clic, è possibile visualizzare tutte le informazioni necessarie relative ai registri di protezione, usando grafici e tabelle facili da consultare.

Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
Grazie per lo scaricamento!
Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.