Thunderbolt icon
Rapport gratuit de Gartner : Guide d’achat de solutions de gestion des accès privilégiés

Comment consulter l’historique 
de connexion des utilisateurs


Nous nous chargeons de la sécurité de vos données. Privacy Policy
Solution native Netwrix Auditor for Active Directory
Étapes
  1. Ouvrez PowerShell ISE → Exécutez le script suivant, en ajustant la période :

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}

  1. Examinez les résultats :
Comment consulter l’historique de connexion des utilisateurs - Solution native
  1. Exécuter Netwrix Auditor → Naviguer jusqu'à "Reports" → sélectionnez « Active Directory » → Activités de connexion → sélectionnez « Connexions réussies » → cliquez sur « Afficher ».
  2. Pour recevoir régulièrement ce rapport par e-mail, il vous suffit de choisir l’option « S’abonner » et de définir le calendrier et les destinataires.
Comment consulter l’historique de connexion des utilisateurs - Netwrix Auditor for Active Directory

Obtenir l’historique des connexions des utilisateurs d’Active Directory, avec ou sans script PowerShell

Microsoft Active Directory stocke les données de l’historique de connexion des utilisateurs dans les journaux des événements des contrôleurs de domaine. À partir de Windows Server 2008 et jusqu’à Windows Server 2016, l’ID d’événement pour un événement de connexion d’utilisateur est 4624. Ces événements contiennent des données sur l’utilisateur, l’heure, l’ordinateur et le type de session. À l’aide du script PowerShell proposé ci-dessus, vous pouvez obtenir un rapport sur l’historique des connexions des utilisateurs qui vous évitera d’avoir à parcourir manuellement les journaux des événements.

Mais il peut s’avérer très fastidieux d’exécuter un script PowerShell chaque fois que vous devez obtenir un rapport sur l’historique de connexion d’un utilisateur. Il existe un moyen plus simple de garder un œil sur les événements de connexion et de déconnexion de vos utilisateurs et de renforcer la sécurité de votre Active Directory : Netwrix Auditor. En quelques clics seulement, vous pouvez recevoir automatiquement par e-mail le rapport dont vous avez besoin, selon le calendrier que vous avez défini.