Аудит активности на терминальном сервере

Оцените эту статью

Алгоритм сценария

Выполняется поиск объектов «компьютер» из контейнера в Active Directory
Проверяет сетевую доступность
Выполняет поиск событий входа в систему, если сервер доступен
Создает файл с текущей датой, добавляет информацию (Имя пользователя, Дата, Имя сервера, IP адрес клиента)

Настройка сценария

Сценарий не исполнен как функция и его корректирование выполняется непосредственно в нем же.

Необходимо заполнить переменную OU – это подразделение в Active Directory вмещающее сервера, Path – путь где будет располагаться отчет

Требуется наличие установленного модуля Active Directory (если использовать поиск серверов из AD)

Windows 10

blogs.technet.microsoft.com/ashleymcglone/2016/02/26/install-the-active-directory-powershell-module-on-windows-10/

Windows 7/2008

blogs.msdn.microsoft.com/rkramesh/2012/01/17/how-to-add-active-directory-module-in-powershell-in-windows-7/

Сценарий

# Параметры сценария
$OU = "" #Необходимо указать контейнер Active Directory, в котором расположены терминальные сервера. Пример "OU=Servers,DC=root,DC=local"
$Path = "" # Путь к сетевому ресурсу, в котором размещены отчеты. Пример "\\server\share\" или "c:\reports\"

$filter = @{
LogName='Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
ID = 22
StartTime = [datetime]::Today.AddDays(-1) # указывается период 1 - один день от текущей даты
EndTime = [datetime]::Today
}

$Machines = (Get-ADComputer -Filter * -SearchBase $OU).Name
$Date = Get-Date -Format d
$Date = $Date -replace "/", "-"

foreach ($Machine in $Machines) {
if(Test-Connection -ComputerName $Machine -BufferSize 16 -quiet -count 2) {
    $result = @()
    $LogOnEvents = Get-WinEvent -filterHashtable $filter -ComputerName $Machine -ErrorAction SilentlyContinue
    Foreach($Event in $LogOnEvents )
            {
            $UserName = $Event.Properties[0].value 
			$Ip = $Event.Properties[2].value
			$logObj =  New-Object PSobject -Property @{ComputerName = $Machine;Time = $Event.TimeCreated; UserName = $UserName ;ClientIPAddress = $Ip  }  
			$result = $result + $logObj
            } 
                $result  | Export-Csv -Encoding Unicode $Path\$Date.csv -Append -NoTypeInformation}
Else {Write-Host ("Host not response " + $Machine) -ForegroundColor White -BackgroundColor Red }
}

# Параметры сценария

$OU = "" #Необходимо указать контейнер Active Directory, в котором расположены терминальные сервера. Пример "OU=Servers,DC=root,DC=local"

$Path = "" # Путь к сетевому ресурсу, в котором размещены отчеты. Пример "\\server\share\" или "c:\reports\"

$filter = @{

LogName='Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'

ID = 22

StartTime = [datetime]::Today.AddDays(-1) # указывается период 1 - один день от текущей даты

EndTime = [datetime]::Today

}

$Machines = (Get-ADComputer -Filter * -SearchBase $OU).Name

$Date = Get-Date -Format d

$Date = $Date -replace "/", "-"

foreach ($Machine in $Machines) {

if(Test-Connection -ComputerName $Machine -BufferSize 16 -quiet -count 2) {

$result = @()

$LogOnEvents = Get-WinEvent -filterHashtable $filter -ComputerName $Machine -ErrorAction SilentlyContinue

Foreach($Event in $LogOnEvents )

{

$UserName = $Event.Properties[0].value

$Ip = $Event.Properties[2].value

$logObj = New-Object PSobject -Property @{ComputerName = $Machine;Time = $Event.TimeCreated; UserName = $UserName ;ClientIPAddress = $Ip }

$result = $result + $logObj

}

$result | Export-Csv -Encoding Unicode $Path\$Date.csv -Append -NoTypeInformation}

Else {Write-Host ("Host not response " + $Machine) -ForegroundColor White -BackgroundColor Red }

}

Создание расписания выполнения

Создать два файла, в примере каталог c:\scripts. – файл AuditSessions.ps1
Скопируйте сценарий в файл

Создание расписания поиска файлов

В управлении компьютером, перейдите в раздел «Планировщик заданий». Создайте задание, введите желаемое имя задания

Укажите периодичность «Ежедневное»

Установите период «каждый день»

Оставьте опцию «Запустить программу»

Путь к программе — C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Аргумент запуска — C:\Scripts\AuditSessions.ps1

После создания, откройте свойство задания, перейдите на вкладку «Триггеры»

Установите опцию «Повторить задачу каждые», указав нужную периодичность повторения

Установите опции «Выполнять для всех пользователей» и «Выполнять с наивысшим приоритетом». Укажите пользователя, имеющего право на чтение всех файлов на удаленных компьютерах. Как правило это пользователи, входящие в группу администраторов на удаленных компьютерах.

Информация о результатах и рабочих файлах

Файл отчета хранится в CSV файле, CSV файл по пути указанному в сценарии. CSV файл, можно преобразовать таблицу, содержимое CSV файла имеет разделение в виде запятой или другого символа.