PSWinReporting

PswinReporting es un pequeño módulo de PowerShell que resuelve el problema de monitorear y leer eventos de Windows . Le permite configurar el monitoreo de controladores de dominio (y desde 2.x cualquier otro servidor) para eventos que ocurren en ellos. Por defecto, viene con soportes de eventos de Active Directory incorporados , pero desde 2.0 puede configurarlo para monitorear cualquier cosa. Puede configurar informes sobre cualquier tipo de eventos y recibir correos electrónicos entregados con un resumen de cambios por hora, diario, semanal, mensual o trimestral. También admite el envío de notificaciones a equipos de Microsoft, Slack y Discord. Asegúrese de ir a través de artículos relacionados, ya que saben cómo es bastante útil si desea obtener todo de este módulo.

La descripción completa del proyecto está disponible en mi sitio web: descripción completa del proyecto.

Actualmente, hay 2 ramas de PswinReporting.

• Legacy Branch -Disponible en PS Gallery como PswinReporting Install-Module -Name 'PSWinReporting' -Force
• Master Branch -Disponible en PS Gallery como pswinreportingv2 Install-Module -Name 'PSWinReportingV2' -Force

He decidido que ambos módulos de PowerShell pueden coexistir juntos, especialmente para los escenarios para las personas que desean cambiar, pero que no quieren hacerlo de inmediato. De esta manera, puede seguir usando la versión anterior, y arreglar lentamente sus otras cosas, o usar nuevos comando Find-Events . He renombrado ligeramente los comandos para la versión V2.

Master Edition es una reescritura completa y un nuevo comienzo. Proporciona la misma funcionalidad que la versión Legacy 1.x y luego algo más.

• Capacidad para traducir el informe y tenerlo en suite sus necesidades
• Capacidad para modificar completamente el monitoreo de eventos
• Capacidad para monitorear cualquier servidor, para cualquier evento que use esquema simple para usar
• Capacidad para apuntar a múltiples servidores, computadoras o archivos al mismo tiempo

En este momento no hay documentación para PSWinReportingV2, excepto los artículos a continuación. Siéntase libre de explorar ejemplos si está ansioso por probar la nueva versión, de lo contrario, retroceso a PswinReporting Legacy Edition .

• Find -Events: el único comando PowerShell que necesitará para averiguar quién hizo qué en Active Directory

PswinReporting viene con informes predefinidos y incorporados. Esos son para Find-Events . Aquellos también se definen en el script de configuración de ejemplo que puede usar de inmediato después de verificar que todo sea según sus requisitos.

• AdComputerChangesDetailed
• AdComputerCreatedChanged
• AdComputerDeleted
• ADGROUPCHANGES
• AdGroupChangesDetailed
• ADGROUPCREATEDELETE
• AdgrupeNumeración
• ADGROUPMembershipChanges
• Adgrupolicichanges
• Adlogsclearedother
• AdlogsclearedSecurity
• Aduserchanges
• Aduserchangesdetailed
• Aduserlockouts
• Aduserlogon
• Aduserlogonkerberos
• Holgazán
• Aduserunnlocked
• AdorganizationalUnchangesDetailed (agregado en 2.0.10)
• OsStartUpshutdownCrash (agregado en 2.0.12): cubre inicio, apagado y bloqueos: probablemente necesita algo de trabajo en el motor más adelante para permitir la fusión de campo
• Oscrash (agregado en 2.0.12): cubre los bloqueos del sistema
• NetworkAccessAuthenticationPolicy (agregado en 2.0.12): cubre autorizaciones aprobadas/denegadas para WiFi y Ethernet

PswinReporting viene con tiempos de informe predefinidos. Esto significa que puede usar el período True/False para habilitar/deshabilitar. En el caso de Find-Events , puede usar tiempos definidos (solo verificados) del parámetro DatesRange .

• Día actual
• Día de día actual
• CurrentDayMinuxdaySX
• Corriente
• Actual Month
• Current Quarter
• Personalizado
• Todo
• Los últimos14 días
• Últimos días
• Últimos7 días
• De día
• Pasado
• Pasta
• Pasajero
• Pastarter

Por supuesto, también puede definir la fecha de los parámetros dataTo para el uso personalizado cuando se usa el comando Find-Events .

Legacy Edition continuará su vida como 1.xx. Si desea seguir usándolo, siéntase libre, pero se recomienda mucho usar 2.xx cuando sea completamente funcional con todas las características. El código está disponible como Legacy Branch. Los siguientes enlaces pueden ayudar a comprender cómo funciona y cómo configurarlo:

• Revisión de las características que vienen en 2.0 junto con algunas características Descripción de la versión actual: descripción general de la configuración y las características.
• Revisión de nuevas funciones en PSWINReporting 1.7 - Se requieren muchos cambios, Revisión. Soporte de equipos de Microsoft, Slack, SQL y Reenseers
• Revisión de nuevas funciones en PSWINReporting 1.0 - Se requieren muchos cambios, Revisión.
• Última versión de get -eventslibrary.ps1: esta es la base de código real para la versión anterior. Solo por caso ...
• Publicación de blog sobre la versión 0.8 - Actualizaciones de comentarios. Última versión antes del cambio de nombre.
• Publicación de blog sobre la versión 0.7 - Actualizaciones de comentarios.
• Publicación de blog sobre la versión 0.6 - Actualizaciones de comentarios.
• Publicación de blog sobre la versión inicial y las diferencias en el enfoque de monitoreo

Los siguientes eventos publicitarios son compatibles:

• Agrupar crear, eliminar, modificar (quién / cuándo / qué)
• Cambios de membresía del grupo (quién / cuándo / qué)
• Cambios de usuario (quién / cuándo / qué)
• Usuario creado / eliminado (quién / cuándo)
• Cambios de contraseña de usuario (quién / cuándo)
• Bloqueos de usuario (quién / cuándo / dónde)
• Computadora creada / modificada (quién / cuándo / dónde)
• Computadora eliminada (quién / cuándo / dónde)
• Copia de seguridad del registro de eventos (quién / cuándo)
• Registro de eventos Claro (quién / cuándo)

Características:

• Soporte para el reenvío de eventos: monitoreo de un registro de eventos en lugar de escanear todos los controladores de dominio
• Soporte para equipos de Microsoft: enviando eventos a medida que suceden a los equipos de Microsoft (solo compatibles cuando los reenvíos están en uso)
• Soporte para Slack: enviando eventos a medida que suceden con Slack (solo admitido cuando los reenvíos están en uso)
• Soporte para Microsoft SQL: envío de eventos directamente a SQL (algunas personas lo prefieren de esa manera)
• Soporte para respaldar los viejos registros archivados (mueve registros de los controladores de dominio al lugar elegido)
• Soporte para volver a escanear registros de archivos: una forma de volver a verificar sus registros para faltar información