Powershell – пример анализа событий аудита


 

 

Задача: найти все события аудита удаления файлов

 

Решение:

 

1.  Открываем Event Viewer

2.  Выбираем Security Log

3.  На панели Action нажимаем Filter Current Log

4.  Создаем фильтр:

clip_image001

5.  Переходим на закладку XML и копируем с нее текст фильтра:

 

clip_image002

6.  Вставляем фильтр в скрипт.

7.  Пример скрипта:

 

$filter =

<QueryList>

  <Query Id=»0″ Path=»Security»>

    <Select Path=»Security»>*[System[Provider[@Name=’Microsoft-Windows-Audit’] and (band(Keywords,13510798882111488)) and (EventID=4660)]]</Select>

  </Query>

</QueryList>

«@

 

$events = Get-WinEvent -FilterXml $filter

 

# Process events as needed

 

Дальше с событиями можно делать, что угодно. Например, можно извлечь информацию, кто удалил файл, но это уже другая история.

 

Полезные ссылки:

Description of security events in Windows Vista and in Windows Server 2008

Security Event Descriptions (XP/2003)

Tracking a Remote File Deletion Back to the Source

Powershell – синхронизация GAL


Когда-то я уже публиковал статью на эту тему, но она умерла вместе с тем сайтом… А тема осталась актуальной, поэтому вновь размещаю полезную информацию по синхронизации GAL (на сегодняшний день в контексте Exchange 2010).

Читать далее

Критический порог – 1500 элементов в LDAP запросах


 

В статье Критический порог – 1500 элементов в multi-valued атрибутах шла речь о том, что запросы LDAP возвращают ограниченное число элементов. Причина в том, что LDAP имеет защитные ограничения.

Вот статья, которая подробно описывает параметры ограничений и как их изменить с помощью утилиты ntdsutil

KB315071 How to view and set LDAP policy in Active Directory by using Ntdsutil.exe