用户的AD登录审核

1

我想审核用户的最后登录-不幸的是,我们有10个域控制器,并且没有集中式日志记录软件。

我的问题是从用户'x'请求最后一次'n'登录事件的最佳方法是什么。然后,我计划对每个域控制器执行$ PS-Session并汇总所有结果。

我的目标是确定他们的帐户是否已从未知设备/位置连接。

任何帮助将不胜感激。我怀疑我必须对Get-Eventlog进行处理,然后对过滤器进行处理?

windows  security 
Abraxas
source
1
认真考虑集中式日志软件。听起来您的环境已经超出了需要它的地步。
蒂姆·百翰
不用担心,我已经争取了一段时间。拥有Arcsight的待报价单,还可以尝试设置ElasticSearch / LogStash / Kibana,这只是浪费时间来做。前一个离开时,最近移到sysadmin的位置。
Abraxas
1
即使是标价,我还是个很大的废话迷。我用一个实例设置了几个客户,并转发了分析所需的特定日志。这是涉足这一想法的好方法。
蒂姆·布里格姆

Answers:

1

cjwdev的ADInfo Free Edition将为您提供上次登录和一些信息,但不会为您提供上一次“ n”次登录事件。您需要从DC集中收集安全日志,然后解析它们(通常使用第三方软件或SCOM等)以对此进行报告。

您还可以使用GPO登录脚本将登录的详细信息写到隐藏的共享中,然后再去某个地方收集有关用户,他们登录的计算机,时间等的数据。您可以让它创建单独的文件。每个用户,然后每次都附加到该特定文件(也许将其命名为他们的登录名.txt)

清洁工
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.