День добрый! Помогите пожалуйста для автоматизации процесса написать скрипт или скинуть готовый вариант, чтобы в домене можно было выгружать с конкретного контроллера DC логи по коду событий 4740 и 4771. Необходимы сведения о дате, контроллере домена, наименование УЗ заблокированного пользователя и узел на каком он блокировался или произошла неудачная попытка авторизации. Проще говоря, необходимо оперативно получать сведения сколько раз произошла блокировка УЗ на контроллере домена и сколько раз УЗ производила неудачную попытку входа на узел (ip) по через Kerberos

Powershell, результат пишется в CSV-файл на рабочий стол.

$logs = Get-EventLog -ComputerName dc1,dc2,dc3 -LogName Security -InstanceId 4740,4741

$logs |select `
@{n='Time';e={$_.timegenerated}},
@{n='DC';e={$_.machinename}},
@{n='User';e={($_.message -split "`n" -match 'Имя учетной записи:(?!.+\$)').trim().split()[-1]}},
@{n='From';e={($_.message -split "`n" -match 'Имя вызывающего компьютера:').trim().split()[-1]}} |
export-csv "$env:USERPROFILE/Desktop/$((get-date).tostring("yyyy-MM-dd"))_DC_lockout_report.csv" -Encoding utf8 -NoTypeInformation -Delimiter ';'

Пример вывода:

Time DC User From
---- -- ---- ----
01.12.2022 8:54:24 dc2.example.com Гость PC0978
01.12.2022 4:01:58 dc2.example.com petrov SRV-MAIL3
01.12.2022 2:39:59 dc2.example.com sidorov SRV-MAIL1


Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC.

Справка по Get-EventLog (https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1)

Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC. »
Спасибо! А тут за какой период будет выгружаться? можно сделать условие чтобы можно самому выбирать за какой день или период надо и отдельно если надо выяснить по конкретной уз записи были события ?)))

Там ссылочка на справку есть

По юзеру - проще всего открыть CSV в Excel и настроить фильтр.