במאמר זה נסקור כיצד לאפשר רישום ביקורת של אירועי כניסה למערכת במחשבי Windows שלכם ולקבל דוח CSV על ניסיונות כניסה שהתרחשו בין שני תאריכים. 

הדוח יציג את זמן יצירת האירוע, דומיין\שם משתמש, ותוצאת ניסיון הכניסה. שלוש האפשרויות לתוצאת ניסיון כניסה הן התחברות אינטראקטיבית מוצלחת, התחברות מרחוק מוצלחת, ו-כישלון בהתחברות. 

ניתן להשתמש בפקודה הבאה להצגת הגדרות מדיניות הביקורת:

auditpol /get /category:*

בנוסף, ניתן להפעיל את רישום אירועי הכניסה מרחוק באמצעות הפקודה הזו:

auditpol /set /subcategory:Logon /success:enable /failure:enable

הפעלת רישום ביקורת

1. גשו למחשב ה-Windows שלכם. לחצו על WinKey+R במקלדת. הקלידו gpedit.msc ולחצו על אישור. 

2. עברו לנתיב הבא: Computer Configuration  > Windows Settings  > Security Settings > Local Policies  >  Audit Policy 

3. לחצו פעמיים על  Audit logon events.

4. תיפתח חלונית בשם Audit logon events Properties. סמנו את התיבות Success ו-Failure ולחצו על אישור. 

שכפול סקריפט ביקורת כניסות

1. מהעמוד Admin (בתפריט הצד), לחצו על סקריפטים.

עמוד הסקריפטים יופיע

2. עברו לספריית הסקריפטים המשותפת, וחפשו את הסקריפט בשם Login Audit (ניתן להשתמש בתיבת החיפוש לסינון התוצאות)

3. לחצו על Clone כדי להעתיק את הסקריפט ל-הסקריפטים שלי.

כעת תמצאו את הסקריפט תחת 'הסקריפטים שלי' בשם 'Login Audit (copy)'.

4. הריצו את הסקריפט המשוכפל על המכשירים שלכם, למידע נוסף קראו את המאמר הרצת סקריפט. יווצר קובץ .csv חדש בנתיב שבחרתם במשתנה $ResultFile כפי שמוצג למטה.