PSWinReporting

PswinReporting - это небольшой модуль PowerShell, который решает проблему мониторинга и чтения событий Windows . Это позволяет настроить мониторинг контроллеров доменов (и из 2.x любые другие серверы) для событий, которые происходят на них. По умолчанию он поставляется со встроенными поддержкой событий Active Directory , но с 2.0 вы можете настроить его для мониторинга всего. Вы можете настроить отчеты о любых видах мероприятий и внести электронные письма с кратким изложением почасовых, ежедневных, еженедельных, ежемесячных или ежеквартальных изменений. Он также поддерживает отправку уведомлений в команды Microsoft, Slack и Discord. Обязательно пройдите с соответствующими статьями, так как они знают, как это довольно полезно, если вы хотите получить все из этого модуля.

Полное описание проекта доступно на моем веб -сайте - полное описание проекта.

В настоящее время есть 2 филиала PswinReporting.

• Legacy Branch -Доступно в PS Gallery в качестве PswinReporting Install-Module -Name 'PSWinReporting' -Force
• Master Branch -Доступно в PS Gallery как PswinReportingV2 Install-Module -Name 'PSWinReportingV2' -Force

Я решил, что оба модуля PowerShell могут сосуществовать вместе, особенно для сценариев для людей, которые хотят переключаться, но не хотят делать это сразу. Таким образом, вы можете продолжать использовать старую версию как есть, и постепенно исправлять другие вещи или использовать новую команду Find-Events . Я слегка переименовал команды для релиза V2.

Master Edition - это полное переписывание и новое начало. Он обеспечивает ту же функциональность, что и версия Legacy 1.x , а затем еще немного.

• Способность переводить отчет и получить его потребности
• Возможность полностью изменять мониторинг событий
• Возможность мониторинга любых серверов, для любых событий, использующих простые в использовании схемы
• Возможность нацелиться на несколько серверов, компьютеров или файлов одновременно

В этот момент нет документации для PswinReportingV2, за исключением тех статей ниже. Не стесняйтесь изучать примеры, если вы хотите попробовать новую версию - в противном случае запасение в PswinReporting Legacy Edition .

• E -Events - единственная команда PowerShell, которая вам когда -либо нужно выяснить, кто сделал то, что в Active Directory

PswinReporting поставляется со предопределенными, встроенными отчетами. Это для Find-Events . Они также определены в примере сценария конфигурации, который вы можете использовать сразу после проверки всего, согласно вашему требованию.

• AdComputerChangeSetail
• Adcomputercreatedchanged
• Adcomputerdeled
• Adgroupchanges
• AdgroupchangeSetail
• Adgroupcreatedelete
• Adgroupenumeration
• Adgroupmembershipchanges
• Adgrouppolicychanges
• Adlogscleearedother
• Adlogsclearedsecurity
• AduserChanges
• AduserChangeSetail
• Aduserlockouts
• Aduserlogon
• Aduserlogonkerberos
• AduseStatus
• Aduserunlocked
• AdorganizationalUnitchangeSetailed (добавлено в 2.0.10)
• OsstartupShutDownCrash (добавлено в 2.0.12) - покрывает запуск, выключение и сбоевые
• OSCRASH (добавлено в 2.0.12) - покрывает сбои системы
• NetworkAccessAuthenticationPolicy (добавлено в 2.0.12) - охватывает разрешения, утвержденные/отклонены для Wi -Fi и Ethernet

PswinReporting поставляется с предопределенным временем отчета. Это означает, что вы можете использовать True/False для включения/отключения периода. В случае Find-Events вы можете использовать определенное время (только проверено) из параметра датранж .

• Текущий день
• CurrentDayMinusDayx
• CurrentDayMinuxDaysx
• CurrentHour
• CurrentMonth
• CurrentQuarter
• CustomDate
• Все
• Последние 14 дней
• Последние 3 дня
• Последние 7 дней
• Onday
• День ПЕДА
• Паста
• Pastmonth
• Папчанка

Конечно, вы также можете определить дату от параметров Dateto для пользовательского использования при использовании команды Find-Events .

Legacy Edition продолжит свою жизнь как 1.xx. Если вы хотите продолжать использовать его, не стесняйтесь, но очень рекомендуется использовать 2.xx , когда он полностью функционален со всеми функциями. Код доступен в качестве устаревшего филиала. Следующие ссылки могут помочь понять, как это работает и как их настроить:

• Обзор функций, поступающих в 2.0, вместе с некоторыми описанием функций для текущей версии - Обзор конфигурации и функций.
• Обзор новых функций в PswinReporting 1.7 - много изменений, требуется обзор. Microsoft Teams, Slack, SQL и Forwarders поддерживают
• Обзор новых функций в PswinReporting 1.0 - много изменений, требуется обзор.
• Последняя версия get -eventslibrary.ps1 - это фактическая кодовая база для старой версии. На всякий случай
• Сообщение в блоге о версии 0.8 - Обновления от отзывов. Последняя версия перед изменением имени.
• Сообщение в блоге о версии 0.7 - Обновления от обратной связи.
• Сообщение в блоге о версии 0.6 - Обновления от обратной связи.
• Сообщение в блоге о начальной версии и различиях в подходе мониторинга

Поддерживаются следующие рекламные события:

• Группа создать, удалить, изменить (кто / когда / что)
• Членство в группе меняется (кто / когда / что)
• Пользователь изменяется (кто / когда / что)
• Пользователь создан / удален (кто / когда)
• Изменения пароля пользователя (кто / когда)
• Блокировка пользователей (кто / когда / где)
• Компьютер создан / изменен (кто / когда / где)
• Удален компьютер (кто / когда / где)
• Резервное копирование журнала журнала событий (кто / когда)
• Журнал событий ясно (кто / когда)

Функции:

• Поддержка пересылки событий - Мониторинг одного журнала событий вместо сканирования всех контроллеров доменов
• Поддержка команд Microsoft - отправка мероприятий, как они случаются с командами Microsoft (поддерживается только тогда, когда используются экспедиторы)
• Поддержка Slack - отправка событий, как они случаются с Slack (поддерживается только тогда, когда используются экспедиторы)
• Поддержка Microsoft SQL - отправка событий непосредственно в SQL (некоторые люди предпочитают это таким образом)
• Поддержка резервного копирования старых архивных журналов (перемещает журналы из контроллеров доменов в выбранное место)
• Поддержка журналов повторного сканирования из файлов - способ перепроверить ваши журналы для пропущенной информации