我想审核用户的最后登录-不幸的是,我们有10个域控制器,并且没有集中式日志记录软件。
我的问题是从用户'x'请求最后一次'n'登录事件的最佳方法是什么。然后,我计划对每个域控制器执行$ PS-Session并汇总所有结果。
我的目标是确定他们的帐户是否已从未知设备/位置连接。
任何帮助将不胜感激。我怀疑我必须对Get-Eventlog进行处理,然后对过滤器进行处理?
1
认真考虑集中式日志软件。听起来您的环境已经超出了需要它的地步。
—
蒂姆·百翰
不用担心,我已经争取了一段时间。拥有Arcsight的待报价单,还可以尝试设置ElasticSearch / LogStash / Kibana,这只是浪费时间来做。前一个离开时,最近移到sysadmin的位置。
—
Abraxas
即使是标价,我还是个很大的废话迷。我用一个实例设置了几个客户,并转发了分析所需的特定日志。这是涉足这一想法的好方法。
—
蒂姆·布里格姆