Obter o histórico de Logon de todos os utilizadores de anúncios
Preciso de obter uma lista de todos os histórico de logon dos utilizadores de anúncios (não só o último ligado) entre duas datas (início e fim).
Eu sei que existem ferramentas de gestão de anúncios como ad Info e AD Tidy mas este tipo de ferramentas só recuperam o último ligado para cada utilizador e eu preciso do histórico de logon para cada um deles.
além disso, encontrei um script PowerShell aqui. Este script faz o que eu quero: obter o histórico de logon completo, mas é baseado no registro de eventos do windows, inspecionando o Kerberos TGT requisitar eventos(EventID 4768) no visualizador de eventos de controladores de domínio. O problema é que o registro de Eventos tem um tamanho máximo e uma vez que ele é alcançado registros antigos são apagados automaticamente.
agora preciso de extrair o histórico de logon para cada utilizador de anúncios entre duas datas e vejo que a maior parte delas já foram apagadas automaticamente no registo de eventos do windows para que este programa não as recupere....
Então, há alguma ferramenta livre para extrair histórico de logon completo para cada utilizador de anúncios directamente do anúncio? ou você conhece um script powershell que pode fazer isso, mas solicitando dados diretamente do anúncio em vez do registro de eventos do windows?1 answers
A pasta activa só guarda a última data de Registo.
Quanto ao histórico, o controlador de domínio irá registar um evento de logon no registo de eventos. Quando você tiver vários controladores de domínio, Qualquer que seja o controlador de domínio com o qual você autenticou, irá conter esse item de logon. É por isso que as ferramentas mencionadas têm o seu lugar, porque eles vão digitalizar todos os controladores de domínio para os itens de logon em vez de você ter que digitalizar manualmente registros de eventos de cada controlador de domínio.
Evento Logs sobre os controladores de domínio são um tamanho finito, e em alguns domínios ocupados, o log irá terminar e às vezes pode conter apenas um único dia de entradas. Uma das coisas a entender é que os Logs de eventos são feitos apenas para logging informação não auditoria informação.
Se quiser auditar informação de logon, então deve olhar para uma ferramentaSIEM (Informação de segurança e gestão de eventos). Estas ferramentas são feitas para auditoria evento. Eles vão consumir todos os logs de eventos dos controladores de domínio e armazená-los. Eles não só fornecem auditoria, (ou seja, histórico de logon), mas eles geralmente vêm com um certo conjunto de capacidade de inteligência para alertá-lo de coisas como atividade suspeita ou logins incomuns.
As for free SIEM tools... bem, as coisas batem e erram. Normalmente "livre" nesta área significa difícil e complicado de configurar. A ferramenta de código aberto "livre" actual é AlienVault OSSIM. Ouvi bem. coisas da maioria das ferramentas SIEM pagas que são dramaticamente mais fáceis de configurar, e geralmente vale o custo. Uma ferramenta paga popular é SolarWinds . Dar-lhe-á todas as coisas de auditoria e conformidade de que necessita. Você provavelmente terá que fazer alguma pesquisa para encontrar o que atende às suas necessidades de auditoria e conformidade.