Опубликовано: 25.05.2010 - 17:47Сергей МариничевКомментариев: 2

Windows 2008 аудит журналов доступа

Powershell Logo

В предыдущей заметке рассматривался аудит журнала входов для Windows Server 2003. В ходе небольшого обсуждения скрипт представленный ранее был модернизирован для работы с Windows Server 2008.

Копируем – вставляем – пользуемся.

$log = Get-EventLog  security | ?{$_.eventid -eq 4624 -or $_.eventid -eq 4634 -and $_.message -like "*Logon Type:`t`t`t2*" -or $_.message -like "*Logon Type:`t`t`t10*" -and  $_.TimeGenerated -gt (Get-date).AddHours(-1)}

$event = New-Object System.Management.Automation.PSObject
$event | Add-Member NoteProperty Event ($null)
$event | Add-Member NoteProperty Code ($null)
$event | Add-Member NoteProperty Time ($null)
$event | Add-Member NoteProperty UserName ($null)
$event | Add-Member NoteProperty Address ($null)

$log | %{
$event.Event = $_.eventid
$event.Code = ($message | ?{$_ -like "*Logon Type:*"} | %{$_ -replace "^.+`t *"})
$event.time = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$user=($message | ?{$_ -like "*Account Name:*"} | %{$_ -replace "^Account Name:`t`t *"})
$event.UserName = $user[1]
$event.Address = ($message | ?{$_ -like "Source Network Address:*"} | %{$_ -replace "^.+`t *"})
$event
}


Информация об авторе

Сергей Мариничев.
Вы можете присоединиться ко мне в Facebook или в Twitter.
Тэги: , . Рубрика: Инструменты

Если Вам понравилась статья, то вы можете подписаться на RSS.
А также бесплатно подписаться по E-mail и получать актуальную информацию в числе первых.

Получать обновления на email

Вы можете оставить комментарий.

2 Комментариев »

 
 

Добавить комментарий

XHTML: Вы можете использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>