Dans cet article, nous examinerons comment autoriser l'audit des événements de connexion sur vos points de terminaison Windows et recevoir un rapport CSV sur les tentatives de connexion qui ont eu lieu entre deux dates. 

Le rapport montrera l'heure de création de l'événement, le domaine\nom d'utilisateur et le résultat de la tentative de connexion. Les trois options de tentative de connexion sont Succès de la connexion interactive, Succès de la connexion à distance, et Échec de la connexion. 

Vous pouvez utiliser la ligne de commande suivante pour lister les paramètres de la politique d'audit :

auditpol /get /category:*

Vous pouvez également activer les événements d'audit de connexion à distance en utilisant cette commande :

auditpol /set /subcategory:Logon /success:enable /failure:enable

Journaux d'audit activés

1. Accédez à votre point de terminaison Windows. Cliquez sur WinKey+R sur votre clavier. Entrez gpedit.msc et cliquez sur OK. 

2. Allez au chemin suivant : Configuration de l'ordinateur  > Paramètres Windows  > Paramètres de sécurité > Politiques locales  >  Politique d'audit 

3. Double-cliquez sur Événements d'audit de connexion.

4. La fenêtre appelée Propriétés des événements d'audit de connexion. Cochez les cases Succès et Échec et cliquez sur OK. 

Cloner le script d'audit de connexion

1. Depuis Admin (dans le panneau latéral), cliquez sur Scripts.

La page Scripts apparaît

2. Allez à la Bibliothèque de Scripts Partagés, et recherchez le script nommé Audit de Connexion (vous pouvez utiliser la boîte Nom du Script pour filtrer les résultats)

3. Cliquez sur Cloner pour copier le script dans Mes Scripts.

Vous trouverez maintenant le script sous 'Mes Scripts' nommé 'Audit de Connexion (copie).

4. Exécutez le script cloné sur vos appareils, consultez l'article Exécuter un Script, pour en savoir plus. Vous aurez un nouveau fichier .csv dans le chemin que vous avez choisi dans $ResultFile comme ci-dessous.