コンピューターの名前がいつ誰によって変更されたかを追跡する方法を調べています。
1台のコンピューターからイベントログを取得できることは知っていますが、1000台を超えるPCで2週間にわたって生成されたレポートが必要です。
または、ドメインから削除された場合、誰がいつ行ったか。
これはサーバー側で実行できますか?実行する場合はどのように実行しますか?
この監査を実行する方法はいくつかあります。まず、関連する2週間の情報を取得するためのより時間のかかる方法です。
csved -f ADfilename.csv -r objectClass=user
そして、エクスポートされたcsvを列ごとのフィルタリングデータとともにExcelファイルにインポートします(注:インポートするときは、区切り文字をコンマとタブに設定して、フィルタリングする前に適切な見出しを取得します)。サンプルイベントデータ-日付/時刻などによるフィルタリングあり
注:NetBIOS名のすべての変更を見つけるために比較および再マージするときに、対応するすべてのイベントを検索およびフィルタリングする必要があるため、この部分には時間がかかる場合があります。変更します。
その後、次のプログラム/スクリプトサンプルを使用して、ADサーバーイベントや企業のコンピューターを長期間監視できます。
スクリプトを介して永続的なイベントコンシューマーを作成することには、2つの優れた点があります。まず、リモートで簡単に実行できることです。したがって、スクリプトを使用して複数のマシンをターゲットにし、リモートマシンでイベントコンシューマーを作成できます。 2つ目のクールな点は、恒久的なイベントの消費者がクールであるという事実です。スクリプトを実行しなくても、イベントを監視して応答します。何かクールなことについて話してください! 1回のスクリプトを実行すると、コンピューターは常にイベントを探して応答します。
WMI NetBIOSクラスの詳細については、 ここ を参照してください。
必要なのは ソース開始サブスクリプション です。これには、ターゲットコンピューターをコレクターにポイントし、コレクターでイベントコレクターサービスを構成するためのGPOが含まれます。イベントの受信を開始すると、必要な特定のイベントにフィルターをかけることができます。
このタスクにはスクリプトを使用します。
https://gallery.technet.Microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb372
基本的に、過去X日間のすべての情報を検索し、HTML5/CSS3ビューに配置します。
たとえば、毎日タスクとして実行できます
C:\Windows\Debug\netsetup.log
を見ると、when部分を取得できます。このログには、ドメインの参加、参加解除、および名前の変更が表示されます。
6011イベントは、whoの部分を報告しません。このイベントは、名前変更後の再起動時にのみ書き込まれます。また、ターゲットからSplunkのようなものを使用して長期アーカイブにイベントを積極的に保持していない限り、それらのイベントは個々のターゲットイベントログに表示されなくなる可能性があります。イベントを収集している場合は、名前の変更をテストし、ユーザーIDで名前を変更した後、再起動する前に、別のイベントが書き込まれていないかどうかを確認します。