Gerando Relatórios de Eventos de Segurança do Active directory usando Powershell.

Nesse artigo vou Mostrar como você pode gerar um relatório  em csv dos serguintes eventos de segurança:

4723 Password change
4724 Password reset
4625 Failed Logon because of bad password
4720 User account creation
4726 User account deleted
4722 User account enabled
4725 User account disabled
4738 User account changed
4740 User account was locked out
4724 User account was unlocked

Passos.

1 – Ativar auditoria  de evendos .

2 – Verificar quais estão ativos.

auditpol.exe /get /category:*

3 – Criar o arquivo acount-audit.ps1  e colar o seguinte coneúdo.

  $date= Get-Date -UFormat "%d-%m-%Y-%Hh-%Mm-%Ss"
    Get-WinEvent -FilterHashtable @{Logname='Security';ID=4723,4724,4625,4720,4726,4722,4725,4738,4740,4767}| Select-Object ID,@{l='Category';e={Switch($_.ID){
    "4723" {"Password change"}
    "4724" {"Password reset"}
    "4625" {"Failed Logon because of bad password"}
    "4720" {"User account creation"}
    "4726" {"User account deleted"}
    "4722" {"User account enabled"}
    "4725" {"User account disabled"}
    "4738" {"User account changed"}
    "4740" {"User account was locked out"}
    "4724" {"User account was unlocked"}
  }
}},@{label='Time Created';expression={$_.TimeCreated.ToString("d-M-yyyy HH:mm:ss")}},Message |Export-CSV "C:\audit\EventLogs-$Env:ComputerName-$date.csv" -Encoding UTF8

4 – Executar o arquivo.

powershell -ExecutionPolicy ByPass C:\Audit\acount-audit.ps1

5 – Mostrando o resultado.

6 – Repositório do script .

https://github.com/xcardoso/audit-eventlog-windows-powershell/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *