PSWinReporting

PSWINREPORTING是一個小的PowerShell模塊，可以解決監視和讀取Windows事件的問題。它允許您為發生在其上的事件的域控制器（以及2.x的其他服務器）設置監視。默認情況下，它具有內置的Active Directory事件支持，但是由於2.0您可以配置它以監視任何內容。您可以設置有關任何類型的事件的報告，並通過每小時，每週，每月或每季度更改的摘要發送電子郵件。它還支持向Microsoft團隊，Slack和Discord發送通知。確保通過相關文章，因為他們都知道如果您想從該模塊中獲取所有內容，這將是非常有用的。

完整的項目描述可在我的網站上找到 - 完整的項目描述。

目前，PSWINREPORTING有2個分支。

• 傳統分支 - 在PS畫廊中以PSWINREPORTING -PSSWINREPORTING Install-Module -Name 'PSWinReporting' -Force
• 主分支 - 在PS畫廊中以PSWINREPORTINGV2 Install-Module -Name 'PSWinReportingV2' -Force提供

我認為兩個Powershell模塊都可以共存，尤其是對於想要切換但不想立即這樣做的人的場景。這樣，您可以按原樣使用舊版本，並慢慢修復其他內容，或使用新的Find-Events命令。我略微重命名為V2版本的命令。

碩士版是一個完整的重寫，也是一個新的開始。它提供了與舊版1.x版本相同的功能，然後提供了更多功能。

• 能夠翻譯報告並適合您的需求
• 能夠完全修改事件監視的能力
• 能夠監視任何服務器的能力，用於使用易於使用架構的任何事件
• 能夠同時定位多個服務器，計算機或文件

目前，除了下面的那些文章外，尚無PSSWINREPORTINGV2的文檔。如果您渴望嘗試新版本，請隨時探索示例 - 否則會退縮到Pswinreporting Legacy Edition 。

• 發現事件 - 您將需要找出誰在Active Directory中做什麼的唯一powershell命令

PswinReporting帶有預定義的內置報告。這些是為了Find-Events 。這些也可以在示例配置腳本中定義，您可以根據需要驗證所有內容後立即使用。

• adcomputerchangesdetailed
• adcomputerCreatedChanged
• adcomputerDeater
• adgroupchanges
• adgroupchangesdetailed
• AdGroupCreateDelete
• AdgroupeNumeration
• AdGroupMembershipchanges
• adgrouppolicychanges
• Adlogsclearedother
• AdlogsclearedSecurity
• Aduserchanges
• Aduserchangesdetailed
• Aduserlockouts
• Aduserlogon
• Aduserlogonkerberos
• Aduserstatus
• Aduserunlocked
• Adorganizationalsunitchangesdetailed（添加在2.0.10中）
• OSSTARTUPSHUTDOWNCRASH（在2.0.12中添加） - 涵蓋啟動，關閉和崩潰 - 可能以後需要在引擎上進行一些工作以允許字段合併
• OSCRASH（添加2.0.12） - 覆蓋系統崩潰
• NetworkAccessauthentication Policy（添加2.0.12） - 涵蓋了批准/拒絕WiFi和以太網的授權

PSWINREPORTING帶有預定義的報告時間。這意味著您可以使用true/fals來啟用/禁用期。如果是Find-Events ，則可以使用datatesrange參數使用定義的時間（僅檢查）。

• 當前日
• CurstryDayminusdayx
• CurstryDayMinuxDaysx
• 電流
• 電流
• 電流
• 定制
• 一切
• 最後14天
• 最後3天
• 最後7天
• 週日
• 過去
• pasthour
• 狂歡
• 過去

當然，您還可以在使用Find-Events命令時定義DateTeTo參數，以供自定義使用。

傳統版將以1.xx的形式繼續生命。如果您想繼續使用它，請自由使用，但是強烈鼓勵使用2.xx，當它具有所有功能。代碼可作為傳統分支。以下鏈接可以幫助您了解其工作原理以及如何設置它：

• 回顧2.0中的功能以及當前版本的某些功能描述 - 配置和功能的概述。
• 審查PSWINREPORTING 1.7的新功能 - 需要進行很多更改，需要審核。 Microsoft團隊，Slack，SQL和Fewrackers支持
• 審查PSWINREPORTING 1.0的新功能 - 需要進行大量更改，需要審核。
• Get -EventsLibrary.ps1的最後版本 - 這是舊版本的實際代碼庫。以防萬一
• 關於0.8版的博客文章 - 反饋更新。名稱更改之前的最後一個版本。
• 有關0.7版的博客文章 - 反饋中的更新。
• 有關0.6版的博客文章 - 反饋更新。
• 有關初始版本和監視方法差異的博客文章

支持以下廣告活動：

• 組創建，刪除，修改（WHO / WHER / WHAT / WHAT）
• 小組成員更改（誰 /何時 /什麼）
• 用戶更改（誰 /何時 /什麼）
• 用戶創建 /刪除（WHO / WHE）
• 用戶密碼更改（誰 /何時）
• 用戶鎖定（誰 /何時 /何時）
• 計算機創建 /修改（WHO / WHE / WHER / WHITE）
• 刪除計算機（誰 /何時 /何時）
• 事件日誌備份（WHO / WHIE）
• 事件日誌清除（誰 /何時）

特徵：

• 支持事件轉發 - 監視一個事件日誌，而不是掃描所有域控制器
• 支持Microsoft團隊 - 將事件發送到Microsoft團隊時（僅在使用轉貨時才支持）
• 支持Slack - 將事件恰好發送到Slack時（僅在使用轉貨時才支持）
• 支持Microsoft SQL-將事件直接發送到SQL（有些人喜歡這種方式）
• 支持備份舊存檔的日誌（將日誌從域控制器移動到所選位置）
• 支持從文件重新掃描日誌 - 一種重新檢查您的日誌以獲取丟失信息的方法