Ciao MP10,
scusa del ritardo, è stato un periodo un po' intenso! :)
Non conosco il dettaglio della legge a cui fai riferimento ma PowerShell ti permette di accedere a qualsiasi dettaglio legato relativo all'auditing e, in generale, al log degli eventi di Windows.
Per recuperare i dettagli sui logon effettuati in una macchina ti è sufficiente utilizzare il cmdlet Get-EventLog, specificando l'
istanza 4624 del Security log. Per salvare su file, invece, non hai che l'imbarazzo della scelta, dipende dal tipo di file che vuoi ottenere.
In questo script, ad esempio, recupero gli ultimi dieci logon effettuati nella macchina locale e li esporto su di un file CSV:
Get-EventLog Security -InstanceId 4624 -Newest 10 |
% {
$data = @{}
$data.TimeGenerated = $_.TimeGenerated
$data.SecurityID = $_.ReplacementStrings[4]
$data.UserName = $_.ReplacementStrings[5]
$data.Domain = $_.ReplacementStrings[6]
$data.IPAddress = $_.ReplacementStrings[18]
$data.GetEnumerator()
} |
Export-Csv .\Logon.csv
Ho scelto di recuperare solo alcune delle informazioni presenti nel log (nome utente, dominio, SID, indirizzo IP e data di generazione): se vuoi farti un'idea delle altre proprietà esposte dal log puoi usare uno script come questo:
Get-EventLog Security -InstanceId 4624 -Newest 1 |
Select -Expand ReplacementStrings
Ciao, a presto!