Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Скриптовые языки администрирования Windows (http://forum.oszone.net/forumdisplay.php?f=102)
-   -   Скрипт PS выгрузки логов с контроллера домена (http://forum.oszone.net/showthread.php?t=352494)

aragonds 01-12-2022 13:36 2997761
Скрипт PS выгрузки логов с контроллера домена
 
День добрый! Помогите пожалуйста для автоматизации процесса написать скрипт или скинуть готовый вариант, чтобы в домене можно было выгружать с конкретного контроллера DC логи по коду событий 4740 и 4771. Необходимы сведения о дате, контроллере домена, наименование УЗ заблокированного пользователя и узел на каком он блокировался или произошла неудачная попытка авторизации. Проще говоря, необходимо оперативно получать сведения сколько раз произошла блокировка УЗ на контроллере домена и сколько раз УЗ производила неудачную попытку входа на узел (ip) по через Kerberos

DJ Mogarych 01-12-2022 15:32 2997769
Powershell, результат пишется в CSV-файл на рабочий стол.
Код:
$logs =  Get-EventLog -ComputerName dc1,dc2,dc3 -LogName Security -InstanceId 4740,4741

$logs |select `
@{n='Time';e={$_.timegenerated}},
@{n='DC';e={$_.machinename}},
@{n='User';e={($_.message -split "`n" -match 'Имя учетной записи:(?!.+\$)').trim().split()[-1]}},
@{n='From';e={($_.message -split "`n" -match 'Имя вызывающего компьютера:').trim().split()[-1]}} |
export-csv "$env:USERPROFILE/Desktop/$((get-date).tostring("yyyy-MM-dd"))_DC_lockout_report.csv" -Encoding utf8 -NoTypeInformation -Delimiter ';'
Пример вывода:
Код:
Time              DC                    User    From 
----              --                    ----    ---- 
01.12.2022 8:54:24 dc2.example.com Гость  PC0978
01.12.2022 4:01:58 dc2.example.com petrov SRV-MAIL3
01.12.2022 2:39:59 dc2.example.com sidorov SRV-MAIL1
Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC.

Справка по Get-EventLog

aragonds 02-12-2022 09:07 2997805
Цитата:
Цитата DJ Mogarych
Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC. »
Спасибо! А тут за какой период будет выгружаться? можно сделать условие чтобы можно самому выбирать за какой день или период надо и отдельно если надо выяснить по конкретной уз записи были события ?)))

DJ Mogarych 02-12-2022 09:16 2997806
Там ссылочка на справку есть

По юзеру - проще всего открыть CSV в Excel и настроить фильтр.


Время: 09:46.

Время: 09:46.
© OSzone.net 2001-