Active Directory Üzerindeki Logları Takip Etme

-



Aşağıdaki script ile bir kullanıcının son 30 gündeki grup ekleme/silme, kullanıcı oluşturma/silme gibi tüm kritik aksiyonlarını görebilirsiniz.


$Username = "test.user"
$StartTime = (Get-Date).AddDays(-30)
$EventIDs = 4720, 4726, 4727, 4728, 4729, 4732, 4733

Get-WinEvent -FilterHashtable @{
 LogName = 'Security'
 ID = $EventIDs
 StartTime = $StartTime
} | Where-Object {
 $_.Message -ilike "*$Username*"
} | Select-Object TimeCreated, ID, Message

NOT:
4720 – Kullanıcı oluşturuldu
4726 – Kullanıcı silindi
4727–4729 – Güvenlik grubu işlemleri (ekleme/silme)
4732–4733 – Yerel grup işlemleri (ekleme/silme)

Yorumlar

Fatih dedi ki…
Öncelikle paylaşımınız için teşekkür ederim. grup ekleme/silme, kullanıcı oluşturma/silme gibi aksiyonların dışında alabileceğimiz aksiyonları da görebilir miyiz
13:13:00
Hakan DOGAN dedi ki…
Fatih Bey bu EVENT ID'ler sadece kullanıcı işlmeri ile ile ilgili ID'ler...Örnekteki Script'i kullanarak kendi yapınıza göre ulaşmak istediğiniz Log'lara ulaşabilirsiniz...Yardımcı olacağım konu olursa tekrar yazabilirsiniz...
13:16:00
Fatih dedi ki…
Çok teşekkür ederim. İyi çalışmalar dilerim.
13:44:00
Yorum Gönder

Bu blogdaki popüler yayınlar

Uzak Masaüstü Bağlantı (RDP) Kısayol Oluşturma

-
Resim
Sık kullandığınız Uzak Masaüstü bilgisayarlarınız her bağlanmanız gerektiğinde bağlantı bilgilerini tekrar tekrar yazmak yerine  aşağıdaki yöntemle çok basit bir şekilde masaüstümüzde kısayol oluşturarak kullanabiliriz Masaüstümüzdeyken sağ tık kısayol oluştur diyelim.  Bu alana tercihinize göre bilgisayar adı ya da ip kullanarak dolduralım. mstsc.exe /v:BilgisayarAdı   veya   mstsc.exe /v:IPADRESI Hepsi bu kadar....
Devamı

Ping Komutu ve CMD komutları

-
Öncelikle kısaca ping’i açıklayalım ardından da ping kodlarının anlamlarına geçelim.  Ping programı, 1983 yılında Mike Muuss tarafından yazılmış bir programdır. Bir makineye genelde 32 baytlık bir ICMP pakedi gönderir ve aynı pakedin geri gelmesini bekler. Bu basit program, birçok işe yarayabilir. Sunucu size ne kadar uzak ise, bu süre de o kadar artmaktadır.  ping 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. ping -a 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. “-a” parametresi ile ipdeki bilgisayarın adresi görüntülenir. ping -a -n 20 192.168.0.2 —>  -n parametresinin yanındaki değer kadar veri paketleri gönderilerek test edilir. pathping –> bu komut sayesinde routerlar üzeriden geçen verinin kayba uğrayıp uğramadığı kontrol edilir. ipconfig —>  bilgisayarın agdaki ip adresini gösterir. ipconfig /all —>  bilgisayarın agd...
Devamı

Domainden Düşen Bilgisayarların Resetlenmesi

-
Resim
Biz sistem yöneticilerinin sürekli başına gelen ve can sıkan bir durum olan Bilgisayarların etki alanında oturum açamama sorununu(Halk Dilinde; Domainden Düşme) bilgisayarı domainden düşürmeden nasıl düzeltebiliriz onu anlatmaya çalışacağım.... Domaini dahil edilmiş bir sunucu veya bilgisayar Domain Controller ile güvenli haberleşmesi sağlanamıyorsa (Network tarafında bir sorun yok ise) ve " The Trust Relationship between this workstation and primary domain failed " hatası alıyorsanız bilgisayarı domainden çıkartıp tekrar dahil etmeye gerek yok.(Genelde Domainden düşürüp tekrar dahil edilir)Bilgisayar hesabını resetleyerek sorunu çözebiliriz. Peki bilgisayar hesabını nasıl resetleyebiliriz? Bu işlem için etki alanında hangi yetkilerimiz olması gerekir? Bilgisayar hesabını resetleme işlemini yapmak için etki alanında Account Operators, Domain Admins, veya Enterprise Admin gruplarından birinin üyesi olmak gerekmektedir.Aşağıda bu yöntemleri sırası ile anlatacağım.. 1. Yöntem : ...
Devamı