المقدمة
يوضح هذا المستند كيفية البحث عن أحداث تسجيل الدخول باستخدام برنامج LogSearch.ps1، وهو برنامج نصي ل PowerShell.
معلومات أساسية
LoginSearch.ps1 هو برنامج نصي صغير من PowerShell يجمع معلومات مفيدة لدعم Umbrella لأغراض أستكشاف الأخطاء وإصلاحها. من المفيد عند أستكشاف الأخطاء وإصلاحها لماذا لا يظهر بعض المستخدمين النشاط الصحيح في التقارير أو النشاط الذي يتم البحث فيه على لوحة معلومات OpenDNS Umbrella، ومع ذلك يمكن أيضا إستخدامه لاستكشاف أخطاء الأنواع الأخرى من المشاكل وإصلاحها.
قم بتشغيل هذا على أي وحدة تحكم بالمجال قياسية حيث يتم نسخ أحداث تسجيل الدخول بين وحدات التحكم بالمجال. ومع ذلك، إذا لم تشاهد أية أحداث أثناء البحث وتتوقع مشاهدتها من مضيف معين، فقد تكون هناك مشكلة في نسخ سجلات الأحداث بين الخوادم. في هذا المثيل اكتشف ٪LOGONSERVER٪ المستخدم من قبل هذا المضيف، ثم قم بتشغيل البرنامج النصي على وحدة التحكم بالمجال المشار إليها بشكل محدد. في حالة عدم ظهور أية أحداث حتى الآن، تأكد من تدقيق أحداث تسجيل الدخول.
تم إرفاق النص إلى أسفل هذه المقالة. يمكن إستخدام المعلومات التي تم تجميعها لاستكشاف الأخطاء وإصلاحها إما بنفسك أو بواسطة دعم OpenDNS.
تشغيل البرنامج النصي
أكمل الخطوات التالية:
- قم بتنزيل الملف النصي المرفق وإعادة تسمية الملحق من '.txt' إلى '.ps1'.
ملاحظة: احذر من الامتدادات المزدوجة ولا تسميها بدون قصد ".txt.ps1".
- ثم من خادم Windows، افتح نافذة PowerShell جديدة تم بدء تشغيلها بواسطة
'Right-Click -->Run as Administrator'
. انتقل إلى المكان الذي قمت بحفظ النص التنفيذي إليه (eg: 'cd C:\Users\admin\Downloads'
) وقم بتنفيذ النص التنفيذي بالكتابة .\loginsearch.ps1.
- يطلب البرنامج النصي أولا اسم المستخدم الذي تريد البحث عنه في سجلات أحداث أمان Windows، ثم عنوان IP محدد إذا كنت تفضل البحث بواسطة IP. أستخدم المطالبات التي تظهر على الشاشة. يمكن إستخدام عملية بحث واحدة أو أخرى (اسم المستخدم أو IP) بشكل فردي، أو يمكن إستخدام كليهما في نفس الوقت، إذا كنت ترغب في تقييد نتائج البحث على مستخدم محدد وعنوان IP في نفس الوقت.
- البرنامج النصي سريع التشغيل. عند انتهائه، سترى المخرجات على كل من الشاشة، والتي تحتوي على أختام زمنية. بالإضافة إلى ذلك، يمكن أن يكون إكمال تصدير كل إدخال لسجل الأحداث يتم تمثيله على الشاشة الموجودة في
'C:\%hostname%.txt'
هذا الإجراء مفيدا إذا كنت تريد الانتقال إلى حدث معين.