PSWinReporting

O PswinReporting é um pequeno módulo PowerShell que resolve o problema de monitorar e ler eventos do Windows . Ele permite configurar o monitoramento dos controladores de domínio (e de 2.x quaisquer outros servidores) para eventos que ocorrem neles. Por padrão, ele vem com suportes de eventos do Active Directory embutidos , mas desde 2.0 você pode configurá-lo para monitorar qualquer coisa. Você pode configurar relatórios sobre quaisquer tipos de eventos e receber e -mails entregues com um resumo de alterações horárias, diárias, semanais, mensais ou trimestrais. Ele também suporta o envio de notificações para as equipes da Microsoft, Slack e Discord. Certifique -se de passar por artigos relacionados, pois eles sabem o que é bastante útil se você deseja obter tudo deste módulo.

A descrição completa do projeto está disponível no meu site - Descrição completa do projeto.

Atualmente, existem 2 ramos do PswinReporting.

• Filial Legacy -Disponível na Galeria PS como PswinReporting Install-Module -Name 'PSWinReporting' -Force
• Master Branch -Disponível na Galeria PS como PswinReportingv2 Install-Module -Name 'PSWinReportingV2' -Force

Decidi que os dois módulos do PowerShell podem coexistir juntos, especialmente para cenários para pessoas que desejam mudar, mas não querem fazê -lo imediatamente. Dessa forma, você pode continuar usando a versão antiga como está, e corrigir lentamente suas outras coisas ou usar o comando novo Find-Events . Renomeei um pouco os comandos para a versão V2.

Master Edition é uma reescrita completa e um novo começo. Ele fornece a mesma funcionalidade que a versão Legacy 1.x e depois mais.

• Capacidade de traduzir o relatório e ter suas necessidades
• Capacidade de modificar completamente o monitoramento de eventos
• Capacidade de monitorar qualquer servidor, para qualquer evento usando esquema simples de usar
• Capacidade de segmentar vários servidores, computadores ou arquivos ao mesmo tempo

Neste momento, não há documentação para o PSWINReportingv2, exceto os artigos abaixo. Sinta -se à vontade para explorar exemplos se você estiver ansioso para experimentar a nova versão - caso contrário, fallback do PswinReporting Legacy Edition .

• Find -Events - O único comando do PowerShell que você precisará descobrir quem fez o que no Active Directory

O PswinReporting vem com relatórios predefinidos e embutidos. Esses são para Find-Events . Aqueles também são definidos no script de configuração de exemplo, que você pode usar imediatamente após a verificação de tudo, conforme sua exigência.

• AdComputerChangesDetailed
• AdComputerCreatedChanged
• AdComputerDeleted
• AdgroupChanges
• AdgroupChangesDetailed
• AdgroupCreateLete
• Adgroupenumeration
• AdgroupMembershipChanges
• AdgroupppolyChanges
• AdLogSclearedhothe
• AdLogSclearedSecurity
• AduserChanges
• AdUserChangesDetailed
• ADUSERLOCKOUTS
• ADUSERLOGON
• ADUSERLOGONKERBEROS
• Aduserstatus
• Aduserunlocked
• AdorganizationalUnitchangesDetailed (adicionado em 2.0.10)
• Osstartupshutdowncrash (adicionado em 2.0.12) - cobre a inicialização, o desligamento e as falhas - provavelmente precisa de algum trabalho no motor posteriormente para permitir a fusão de campo
• Oscrash (adicionado em 2.0.12) - cobre falhas do sistema
• NetworkAccessAuthenticationPolicy (adicionado em 2.0.12) - abrange autorizações aprovadas/negadas para WiFi e Ethernet

PswinReporting vem com tempos de relatório predefinidos. Isso significa que você pode usar o TRUE/FALSE para ativar/desativar o período. No caso de Find-Events , você pode usar os tempos definidos (apenas verificados) do parâmetro DatesRange .

• Currentday
• CurrentdayMinusdayX
• CurrentdayMinuxDaysx
• CurrentHour
• Currentmonth
• CurrentQuarter
• CustomDate
• Tudo
• Last14 dias
• Último 3 dias
• Last7 dias
• ANESIA
• No passado
• Pasthour
• Passado
• Passado

Obviamente, você também pode definir os parâmetros DateFrom , Dateto para uso personalizado ao usar o comando Find-Events .

Legacy Edition continuará sua vida como 1.xx. Se você quiser continuar usando, sinta -se livre, mas é altamente encorajado a usar o 2.xx quando estiver totalmente funcional com todos os recursos. O código está disponível como ramificação Legacy. Os links a seguir podem ajudar a entender como funciona e como configurá -lo:

• Revisão dos recursos que estão chegando no 2.0, juntamente com alguns recursos, descrição da versão atual - Visão geral da configuração e recursos.
• Revisão dos novos recursos no PswinReporting 1.7 - Muitas alterações, revisão necessária. Equipes da Microsoft, Slack, SQL e Supports Support
• Revisão dos novos recursos no PswinReporting 1.0 - Muitas alterações, revisão necessária.
• Última versão do get -ventslibrary.ps1 - Esta é a base de código real para a versão antiga. Apenas no caso de ....
• Postagem do blog sobre a versão 0.8 - Atualizações do feedback. Última versão antes da mudança de nome.
• Postagem do blog sobre a versão 0.7 - Atualizações do feedback.
• Postagem do blog sobre a versão 0.6 - Atualizações do feedback.
• Postagem do blog sobre a versão inicial e as diferenças na abordagem de monitoramento

A seguir, os eventos de anúncio são suportados:

• Criar, excluir, modificar, modificar (quem / quando / o quê)
• Mudanças de associação ao grupo (quem / quando / o quê)
• Alterações do usuário (quem / quando / o quê)
• Usuário criado / excluído (quem / quando)
• Alterações de senha do usuário (quem / quando)
• Bloqueios do usuário (quem / quando / onde)
• Computador criado / modificado (quem / quando / onde)
• Computador excluído (quem / quando / onde)
• Backup de log de eventos (quem / quando)
• Log de eventos Clear (quem / quando)

Características:

• Suporte para encaminhamento de eventos - Monitorando um registro de eventos em vez de digitalizar todos os controladores de domínio
• Suporte para equipes da Microsoft - enviando eventos à medida que acontecem com as equipes da Microsoft (suportadas apenas quando os encaminhadores estão em uso)
• Suporte para Slack - enviando eventos à medida que eles são Slack (apenas suportados quando os encaminhadores estão em uso)
• Suporte à Microsoft SQL - enviando eventos diretamente para o SQL (algumas pessoas preferem dessa maneira)
• Suporte para backup de toras arquivadas antigas (move toras dos controladores de domínio para o lugar escolhido)
• Suporte para renomar logs dos arquivos - uma maneira de verificar seus logs para obter informações ausentes