Опубликовано: 25.05.2010 - 17:47Сергей МариничевКомментариев: 2

Windows 2008 аудит журналов доступа

Powershell Logo

В предыдущей заметке рассматривался аудит журнала входов для Windows Server 2003. В ходе небольшого обсуждения скрипт представленный ранее был модернизирован для работы с Windows Server 2008.

Копируем – вставляем – пользуемся.

$log = Get-EventLog  security | ?{$_.eventid -eq 4624 -or $_.eventid -eq 4634 -and $_.message -like "*Logon Type:`t`t`t2*" -or $_.message -like "*Logon Type:`t`t`t10*" -and  $_.TimeGenerated -gt (Get-date).AddHours(-1)}

$event = New-Object System.Management.Automation.PSObject
$event | Add-Member NoteProperty Event ($null)
$event | Add-Member NoteProperty Code ($null)
$event | Add-Member NoteProperty Time ($null)
$event | Add-Member NoteProperty UserName ($null)
$event | Add-Member NoteProperty Address ($null)

$log | %{
$event.Event = $_.eventid
$event.Code = ($message | ?{$_ -like "*Logon Type:*"} | %{$_ -replace "^.+`t *"})
$event.time = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$user=($message | ?{$_ -like "*Account Name:*"} | %{$_ -replace "^Account Name:`t`t *"})
$event.UserName = $user[1]
$event.Address = ($message | ?{$_ -like "Source Network Address:*"} | %{$_ -replace "^.+`t *"})
$event
}

Буду благодарен, если поделитесь этой статьей:

Приглашаю присоединиться ко мне в следующих сервисах:
facebook Google Plus вКонтакте Twitter
Тэги: , . Рубрика: Инструменты
Если Вам понравилась статья, то вы можете подписаться на RSS. А также бесплатно подписаться по E-mail и получать актуальную информацию в числе первых.
Получать обновления на email

Вы можете оставить комментарий.

2 Комментариев »

 
 

Добавить комментарий

XHTML: Вы можете использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>