Скрипт для получения отчета о событиях входа/выхода на компьютерах домена

Давно хотел сделать для себя нечто подобное, но руки все никак не доходили. Наконец-то сподобился. И так, зачастую бывает необходимо получить отчет о событиях входа/выхода на отдельной рабочей станции и/или группе компьютеров домена: кто, когда выполнял интерактивный вход, вход по RDP, блокировал/разблокировал рабочую станцию, обращался к компьютеру по сети и т.п. Вся информация, которая нам необходимо для решения этой задачки, содержится в событиях 528/538/540 (для рабочих станций под управлением windows предшествующих Vista). Если для одиночного компьютера еще можно как-то пользоваться event viewver’ом для просмотра событий (но все равно это не очень удобно, т.к. нужная нам для анализа информация скрыта внутри события), то с группой компьютеров работать совершенно невозможно.

рис. 1

Так, например, узнать значение Logon Type события входа, нам придется открывать окно с информацией о событии:

рис. 2

Неудобно так же и то, что мы лишены возможности фильтровать события по типу входа, и т.п.

Поэтому я и решил написать скрипт, который опросит заданный(ые) компьютер(ы) и выгрузит в единый файл формата csv всю собранную информацию. Впоследствии этот csv файл можно будет открыть при помощи Excel для последующей обработки (наложения фильтров, сортировки и т.п.).
И так приступим. Для начала определимся, каким образом мы можем сформировать csv-файл? Самый простой способ — это воспользоваться командлетом Export-Csv. На вход этому командлету необходимо подавать объекты (и только объекты), иначе он не будет работать. И так, получается, что информацию о событиях входа, собираемую с компьютеров, мы будем аккумулировать в массиве объектов, а затем подадим этот массив на вход командлету Export-Csv. Информация о каждом конкретном событии входа/выхода будем хранить в объекте следующего вида:

$objLogOnOffEvt=New-Object PSObject -Property @{
CompName=$CompName;
TimeGenerated=$null;
User=$null;
Domain=$null;
EventIdentifier=$null;
LogonType=$null;
}

С каждого опрашиваемого скриптом компьютера мы будем получать массив таких объектов и аккумулировать их в едином массиве, предназначенном для выгрузки в файл отчета. Каждое событие входа/выхода мы будем «парсить» при помощи регулярных выражений, выделяя нужную нам информацию и заполняя ею поля нашего объекта. Для этого удобно использовать оператор switch:

switch -regex ($_.Message) {
"(?:Пользователь|User):\t+(\w+(?:\s?[\w-]+)*)" {$objLogOnOffEvt.User=$Matches[1]}
"(?:Домен|Domain):\t+(\w+(?:\s?[\w-]+)*)" {$objLogOnOffEvt.Domain=$Matches[1]}
"(?:Тип входа|Logon Type):\t+(\d+)" {$objLogOnOffEvt.LogonType=$Matches[1]}
}

Ну, и еще один тонкий момент: каким образом получить информацию о том или ином событии? Поначалу, я решил использовать стандартный командлет Get-EventLog, но (после ряда экспереметов) был вынужден отказаться от этой идеи. Дело в том, что при работе с большими логами (каковыми обычно являются журналы Security) на удаленных компьютерах этот командлет безбожно «тормозит». В то же самое время wmi-запросы отрабатывают в разы шустрее. Поэтому для извлечения информации о событии будем использовать wmi (а конкретно, класс Win32_NTlogEvent):

gwmi -ComputerName $CompName -Class Win32_NTlogEvent -Filter $filter -ErrorAction Stop|..

Ну, а теперь пришло время опубликовать сам скрипт:

<# Скрипт Get-LogOnOffEvts.ps1 shs 20101112
.Synopsis
Скрипт проводит опрос компьютеров, чьи учетные записи находятся в заданном параметрами запуска OU,
собирая информацию о событиях входа/выхода и сохраняя их в файл отчета

Get-LogOnOffEvts.ps1 [SearchRoot] [SearchScope] [DateBefore] [DateAfter] <ReportFileName>

.Parameters

SearchRoot - задает корневой контейнер, с которого будет начат поик учетных записей компьютеров,
подлежащих опросу
Если не задано иное, то по умолчанию принимает значение "$(([ADSI]"LDAP://rootDSE").rootDomainNamingContext)",
которое равно DN корневого домена леса.

SearchScope - область поиска, может принимать одно из 3х возможных значений:
'Base' - ограничивает область поиска базовым объектом (SearchRoot)
'OneLevel' - поиск только прямых потомков базового объекта (SearchRoot),
за исключением самого базового объекта
'Subtree' - поиск по всему поддереву, начиная с базового объекта (SearchRoot),
включая сам базовый объект
Если не задано иное, то по умолчанию принимает значение 'Subtree'

DateBefore - верхня граница даты искомых событий (по умолчанию - начало следующих суток)

DateAfter - нижняя граница даты искомых событий (по умолчанию - начало текущих суток)

ReportFileName -полное имя файла отчета

.Examples
Get-LogOnOffEvts.ps1 -ReportFileName c:\temp\report.csv
Get-LogOnOffEvts.ps1 -SearchBase "domain.local/MyOU/Workstations" -ReportFileName c:\temp\report.csv
Get-LogOnOffEvts.ps1 -SearchBase "domain.local/MyOU/Workstations" -SearchScope 'OneLevel' -ReportFileName c:\temp\report.csv
Get-LogOnOffEvts.ps1 -SearchBase "CN=MyComp,OU=Workstations,OU=MyOU,DC=domain,DC=local" -DateAfter "04/30/2010" -ReportFileName c:\temp\report.csv
#>
#================================================================================================================
param($SearchRoot="$(([ADSI]"LDAP://rootDSE").defaultNamingContext)", [DirectoryServices.SearchScope]$SearchScope="Subtree",`
[DateTime]$DateBefore=(Get-Date).AddDays(1).Date, [DateTime]$DateAfter=(Get-Date).Date, $ReportFileName)
#================================================================================================================
<###############################################################################

Function Show-Help. Выыодит на экран первый блочный коментарий скрипта,
заданного в качестве параметра вызова.

.Parameter <ScriptFullName>
Полное имя скрипта, чей первый блочный коментарий будет выведен на экран.

#################################################################################>
Function Show-Help ($ScriptFullName){
if ($ScriptFullName) {
$IsHelpLine=$false
switch -file $ScriptFullName {
{$_ -match "<#"} {Write-Host $_;$IsHelpLine=$true;continue}
{$_ -match "#>"} {Write-Host $_;$IsHelpLine=$false;break}
{$IsHelpLine} {Write-Host $_;}
}
}
}
<###############################################################################
Функция Get-LogonLogoffEvts предназначена для получения массива объектов,
содержащих информацию о событиях входа/ выхода на заданном компьютере
(Будет собрана информация о событиях с event id равными 528,528,540)

.Parameters
CompName - Имя опрашиваемого компьютера
Before - Верхняя граница даты искомых событий
After - Нижняя граница даты искомых событий

###############################################################################>
Function Get-LogonLogoffEvts ($CompName, $Before=$DateBefore, $After=$DateAfter) {
#массив, в который будем собирать информацию входа/выхода для заданного компьютера
$arrLogOnOffEvts=@()
#Перебираем все события с EventID равными 528|538 в заданном диапазоне даты/времени
#Get-EventLog -ComputerName $CompName -InstanceId 528,538 -LogName Security -After $After -Before $Before|%{
$filter="logfile='Security' and (eventcode='528' or eventcode='540' or eventcode='538') and TimeGenerated >= '$([System.Management.ManagementDateTimeConverter]::ToDMTFDateTime($After))'"
$filter+= " and TimeGenerated <= '$([System.Management.ManagementDateTimeConverter]::ToDMTFDateTime($Before))'"
gwmi -ComputerName $CompName -Class Win32_NTlogEvent -Filter $filter -ErrorAction Stop|%{
#создадим новый объект, в который будем записывать информацию об очередном событии входа/выхода
$objLogOnOffEvt=New-Object PSObject -Property @{
CompName=$CompName;
TimeGenerated=$null;
User=$null;
Domain=$null;
EventIdentifier=$null;
LogonType=$null;
}
#и сохраняем всю полезную информацию о событии в объете $objLogOnOffEvt
$objLogOnOffEvt.TimeGenerated=[datetime]$_.TimeGenerated
$objLogOnOffEvt.EventIdentifier=$_.EventIdentifier
switch -regex ($_.Message) {
"(?:Пользователь|User):\t+(\w+(?:\s?[\w-]+)*)" {$objLogOnOffEvt.User=$Matches[1]}
"(?:Домен|Domain):\t+(\w+(?:\s?[\w-]+)*)" {$objLogOnOffEvt.Domain=$Matches[1]}
"(?:Тип входа|Logon Type):\t+(\d+)" {$objLogOnOffEvt.LogonType=$Matches[1]}
}
#добавляем информацию об очередном событии в массив
#$objLogOnOffEvt
$arrLogOnOffEvts+=$objLogOnOffEvt
}
#возвращаем, как результат работы функции, информацию о всех собранных событиях
$arrLogOnOffEvts
}
#
#====================================== Точка входа скрипта ==================================
#если полное имя файла отчета задано и задано правильно (путь в полном имени файла указывает на папку,
#которая реально существует), то начинаем работу
if (($ReportFileName) -and (Test-Path ($ReportFileName|Split-Path))) {
#Массив, в который будем собирать информацию о событиях входа/выхода, собранную со всех опрашиваемых компьютеров
$arrReport=@()
#Выбираем из заданной ветки все неотключенные учетные записи компьютеров
$arrComps = Get-QADComputer -ErrorAction SilentlyContinue -SearchRoot $SearchRoot -SearchScope $SearchScope -SizeLimit 0 |
select name, @{Name="Disabled"; Exp={$_.useraccountcontrol -band 2}}|
?{$_.Disabled -eq 0}| select -ExpandProperty name
#можно было бы и далше продолжать передавать данные по конвейеру, но мы не будем этого делать
#(чтобы упростить отладку и облегчить восприятие)
#для каждого компьютера из списка...
$arrComps|foreach {
##...если компьютер доступен (пингуется)...
if (Test-Connection $_ -Count 1 -Quiet) {
Write-Host "`n$_" -NoNewline
try {
###...добавляем информацию о событиях входа/выхода опрашиваемого компьютера к общему отчету
$arrReport+=Get-LogonLogoffEvts $_
}
catch {
Write-Host "`t-->`t Ошибка доступа!" -ForegroundColor Red -NoNewline
}
}
}
#Если отчет не пустой, то...
if ($arrReport) {
#...выгружаем сформированный отчет в файл-csv, который удобно обрабатывать в excel
$arrReport|Export-Csv -Path $ReportFileName -UseCulture -Encoding Default
}
else {
Write-Host "`nДанных получено не было. Новый отчет не сформирован!"
}
}
else {
#Выводим на экран первый блочный комментарий этого скрипта в качестве справки
Show-Help $MyInvocation.MyCommand.Path
} 

Upd. Забыл указать ссылки на источники информации по событиям входа|выхода.
Исправляюсь:

Описание событий входа/выхода смотримздесь: Audit logon events

Описание типов входа (logon types), можно посмотреть в там же (Audit logon events), можно здесь (SECURITY_LOGON_TYPE Enumeration) и еще вот здесь (Win32_LogonSession Class). Обратите внимание, что только в статье Win32_LogonSession Class описан тип входа, равный нулю (!). На всякий случай, повторю эту таблицу с кодами входа/выхода чуть ниже:

Value	Meaning
0	Used only by the System account.
2 (Interactive)	Intended for users who are interactively using the machine, such as a user being logged on by a terminal server, remote shell, or similar process.
3 (Network)	Intended for high-performance servers to authenticate clear text passwords. LogonUser does not cache credentials for this logon type.
4 (Batch)	Intended for batch servers, where processes can be executed on behalf of a user without their direct intervention; or for higher performance servers that process many clear-text authentication attempts at a time, such as mail or Web servers. LogonUser does not cache credentials for this logon type.
5 (Service)	Indicates a service-type logon. The account provided must have the service privilege enabled.
6 (Proxy)	Indicates a proxy-type logon.
7 (Unlock)	This logon type is intended for GINA DLLs logging on users who are interactively using the machine. This logon type allows a unique audit record to be generated that shows when the workstation was unlocked.
8 (NetworkCleartext)	Windows Server 2003, Windows 2000, and Windows XP:  Preserves the name and password in the authentication packages, allowing the server to make connections to other network servers while impersonating the client. This allows a server to accept clear text credentials from a client, call LogonUser, verify that the user can access the system across the network, and still communicate with other servers.
9 (NewCredentials)	Windows Server 2003, Windows 2000, and Windows XP:  Allows the caller to clone its current token and specify new credentials for outbound connections. The new logon session has the same local identify, but uses different credentials for other network connections.
10 (RemoteInteractive)	Terminal Services session that is both remote and interactive.
11 (CachedInteractive)	Attempt cached credentials without accessing the network.
12 (CachedRemoteInteractive)	Same as RemoteInteractive. This is used for internal auditing.
13 (CachedUnlock)	Workstation logon.