Come monitorare i registri eventi mediante PowerShell e ADAudit Plus

Monitorare i registri eventi permette sostanzialmente di ottenere l’intera panoramica dell’ambiente IT della propria organizzazione. I registri eventi forniscono un’abbondanza di informazioni sulle modifiche all’acceso dei file, gli eventi amministrativi, le attività di accesso e altro ancora. Tenere tracciare e registrare gli eventi critici che avvengono all’interno della rete di un’organizzazione è cruciale per soddisfare gli standard di sicurezza e i requisiti di conformità IT.

Di seguito è riportato un confronto tra le procedure per monitorare i registri eventi usando Windows PowerShell e ADAudit Plus:

PowerShell

Procedura per monitorare il registro eventi usando PowerShell:

Definire il dominio da cui raccogliere i registri eventi.
Trovare gli attributi LDAP necessari per recuperare i registri.
Compilare lo script.
Eseguirlo in Windows PowerShell
I registri eventi saranno esportati nel formato specificato.
Per esportare i registri in un formato file differente, modificare opportunamente lo script.

Script di esempio per Windows PowerShell

Il seguente cmdlet ottiene gli eventi dal computer locale e li salva in formato .html.

Get-EventLog -ReportType HTML -Path 'Mention the location where report needs to be saved, For Eg: C:\EventLogReports\Report1.html'

Per recuperare i registri eventi da un computer remoto, specificare il nome computer.

Get-EventLog -ComputerName Name of desired computer -ReportType HTML -Path "Mention the location where report needs to be saved, For Eg: C:\remoteLogReports\Report1.html"

Per poter salvare i report in formato xml, sostituire HTML con XML nel cmdlet qui sopra.

Lo script può essere modificato per generare report con altri parametri come -Before o -After (per ottenere i report rispettivamente prima o dopo una specifica data e ora); -EntryType (questo parametro restituisce i registri in base allo stato degli eventi come avviso, errore, informazione, controllo riuscito o non riuscito) e così via.

ADAudit Plus

Per ottenere il report,

ADAudit Plus analizza tutti gli eventi di sicurezza dell’ambiente Windows e li presenta sotto forma di report di facile consultazione, per un analisi agevole.

Per visualizzare i report in categorie differenti, navigare fino alla scheda Report nella console di ADAudit Plus.

Selezionare il "Dominio" richiesto dalle opzioni del menù a comparsa nell’angolo in alto a destra.
Selezionare “Esporta come” per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, e XLS).

ADAudit Plus consente inoltre agli utenti di generare report personalizzati.
Passa ad Analytics -> Rapporti personalizzati per creare rapporti personalizzati.

L'interfaccia utente autoesplicativa consente agli utenti di selezionare i parametri da monitorare e includere nel report.

Si può accedere al report creato dall’utente facendo clic sul pulsante Visualizza report personalizzati. Il report può anche essere esportato in uno qualsiasi dei formati preferiti (PDF, XLS, HTML e CSV) selezionando l’opzione “Esporta come”.

Di seguito sono elencate le limitazioni dell’ottenere il report dei registri eventi mediante strumenti nativi come Windows PowerShell:

Possiamo eseguire questo script solo dai computer che dispongono del ruolo Active Directory Domain Services.
Lo script deve essere modificato ogni volta che si voglia esportare il report in un formato diverso.
L'applicazione di ulteriori filtri aumenterà la complessità delle query LDAP.
Dover considerare un’enorme volume di dati per identificare le informazioni necessarie può essere poco pratico.

ADAudit Plus scansionerà in automatico tutti i controller di dominio per recuperare i dati dai registri eventi, generare il report e presentarlo tramite un’interfaccia utente semplice e dal design intuitivo.