PSWinReporting

PswinReportingは、 Windowsイベントの監視と読み取りの問題を解決する小さなPowerShellモジュールです。これにより、ドメインコントローラーの監視（および2.xから）を設定することができます。デフォルトでは、組み込みのActive Directoryイベントサポートが付属していますが、 2.0以降、何でも監視するように構成できます。あらゆる種類のイベントに関するレポートを設定し、1時間ごと、毎日、毎週、毎月、または四半期ごとの変更の要約でメールを配信できます。また、Microsoftチーム、Slack、およびDiscordに通知を送信することもサポートしています。関連する記事は、このモジュールからすべてを取得したい場合にどのように役立つかをすべて知っているので、必ず関連する記事を通過してください。

完全なプロジェクトの説明は、私のウェブサイトで入手できます - 完全なプロジェクトの説明。

現在、PSWINREPORTINGには2つのブランチがあります。

• レガシーブランチ - PSギャラリーでPSWINREPORTINGとして利用可能 - Install-Module -Name 'PSWinReporting' -Force
• マスターブランチ-PSWINREPORTINGV2としてPSギャラリーで入手可能 - Install-Module -Name 'PSWinReportingV2' -Force

私は、特に切り替えたいがすぐにやりたくない人のためのシナリオのために、両方のPowerShellモジュールが一緒に共存できると判断しました。このようにして、古いバージョンをそのまま使用し続け、他のものをゆっくりと修正するか、新しいFind-Eventsコマンドを使用できます。 V2リリースのコマンドをわずかに変更しました。

Master Editionは完全な書き直しであり、新しい始まりです。 Legacy 1.xバージョンと同じ機能を提供し、その後さらにいくつか提供します。

• レポートを翻訳し、それをあなたのニーズに合わせて持っている能力
• イベントの監視を完全に変更する能力
• 簡単な使用スキーマを使用しているイベントに対して、サーバーを監視する機能
• 複数のサーバー、コンピューター、またはファイルを同時にターゲットにする機能

現時点では、以下の記事を除き、PSWINREPORTINGV2のドキュメントはありません。新しいバージョンを試してみたい場合は、例を紹介してください。そうでなければ、PswinReporting Legacy Editionへのフォールバックです。

• Find -Ievents -Active Directoryで誰が何をしたかを知るために必要な唯一のPowerShellコマンド

PswinReportingには、事前に定義された組み込みのレポートが付属しています。それらはFind-Eventsのためです。これらは、要件に従ってすべてがあることを確認した後にすぐに使用できる構成スクリプトの例で定義されています。

• AdComputerChangesDetailed
• AdComputerCreatedChanged
• adcomputerdeleted
• AdGroupChanges
• adgroupChangesDetailed
• AdGroupCreatedElete
• アドグロペニアレーション
• AdGroupMembershipChanges
• AdgrouppolicyChanges
• adlogsclearedother
• adlogsclearedsecurity
• AduserChanges
• AduserChangesDetailed
• AduserLockouts
• Aduserlogon
• Aduserlogonkerberos
• Aduserstatus
• Aduserunlocked
• AdorganizationalUnitchangESDETAILED（2.0.10に追加）
• osstartupshutdowncrash（2.0.12に追加） - スタートアップ、シャットダウン、クラッシュをカバーする - おそらく、フィールドの合併を可能にするためにエンジンでの作業が後で必要なのか
• Oscrash（2.0.12に追加） - システムのクラッシュをカバーします
• NetworkAccessauthenticationPolicy（2.0.12に追加） - WiFiおよびイーサネットで承認/拒否された認可をカバーします

PswinReportingには、事前に定義されたレポート時間が付属しています。これは、True/Falseを使用して期間を有効/無効にできることを意味します。 Find-Eventsの場合、 DatesRangeパラメーターから定義された時間（チェックのみ）を使用できます。

• 現在の日
• currentdayminusdayx
• currentdayminuxdaysx
• currenthour
• CurrentMonth
• CurrentQuarter
• カスタムデート
• すべて
• 最後の14日
• 最後の3日
• 最後の7日
• 一日
• 過去
• pasthour
• Pastmonth
• パスコアター

もちろん、 Find-Eventsコマンドを使用する場合、カスタム使用の日付、 Datetoパラメーターを定義することもできます。

Legacy Editionは1.xxとしての生活を続けます。使用し続けたい場合は、お気軽にはご利用いただけますが、すべての機能で完全に機能する場合は2.XXを使用することを強くお勧めします。コードはレガシーブランチとして利用できます。次のリンクは、それがどのように機能し、どのようにセットアップするかを理解するのに役立ちます。

• 現在のバージョンのいくつかの機能の説明 - 構成と機能の概要とともに、2.0に登場する機能のレビュー。
• PSWINREPORTING 1.7-多くの変更における新機能のレビュー、レビューが必要です。 Microsoftチーム、Slack、SQL、Forwardersサポート
• PSWINREPORTING 1.0の新機能のレビュー - 多くの変更、レビューが必要です。
• get -eventslibrary.ps1の最後のバージョン - これは、古いバージョンの実際のコードベースです。場合に備えて
• バージョン0.8に関するブログ投稿 - フィードバックからの更新。名前が変更される前の最後のバージョン。
• バージョン0.7に関するブログ投稿 - フィードバックからの更新。
• バージョン0.6に関するブログ投稿 - フィードバックからの更新。
• 初期バージョンと監視アプローチの違いに関するブログ投稿

次の広告イベントがサポートされています：

• グループ作成、削除、変更
• グループメンバーシップの変更（誰 /いつ /何）
• ユーザーの変更（誰 /いつ /何）
• ユーザー作成 /削除（誰 /いつ）
• ユーザーパスワードの変更（誰 /いつ）
• ユーザーロックアウト（誰 /いつ /どこで）
• コンピューターが作成 /変更（誰 /いつ /どこで）
• コンピューター削除（誰 /いつ /どこで）
• イベントログバックアップ（誰 /いつ）
• イベントログクリア（誰 /いつ）

特徴：

• イベント転送のサポート - すべてのドメインコントローラーをスキャンする代わりに、1つのイベントログを監視する
• Microsoftチームのサポート - イベントがMicrosoftチームに起こるときに送信します（フォワーダーが使用されている場合にのみサポートされています）
• Slackのサポート - イベントがSlackに起こったときに送信します（フォワーダーが使用されている場合にのみサポートされています）
• Microsoft SQLのサポート - イベントをSQLに直接送信します（そのように好む人もいます）
• 古いアーカイブされたログをバックアップするためのサポート（ドメインコントローラーから選択した場所にログを移動）
• ファイルからの再スキャンログのサポート - 不足している情報のためにログを再確認する方法