In questo articolo, esamineremo come consentire la verifica degli eventi di accesso sui tuoi endpoint Windows e ricevere un report CSV sui tentativi di accesso avvenuti tra due date. 

Il report mostrerà l'ora di creazione dell'evento, dominio\nome utente e il risultato del tentativo di accesso. Le tre opzioni di tentativo di accesso sono Accesso interattivo riuscito, Accesso remoto riuscito e Accesso fallito. 

Puoi utilizzare la seguente riga di comando per elencare le impostazioni della politica di verifica:

auditpol /get /category:*

Inoltre, puoi abilitare gli eventi di verifica dell'accesso da remoto utilizzando questo comando:

auditpol /set /subcategory:Logon /success:enable /failure:enable

Log di verifica abilitati

1. Accedi al tuo endpoint Windows. Premi WinKey+R sulla tua tastiera. Inserisci gpedit.msc e fai clic su OK. 

2. Vai al seguente percorso: Configurazione del computer  > Impostazioni di Windows  > Impostazioni di sicurezza > Politiche locali  >  Politica di verifica 

3. Fai doppio clic su Eventi di accesso di verifica.

4. La finestra chiamata Proprietà degli eventi di accesso di verifica. Seleziona le caselle di controllo Successo e Fallimento e fai clic su OK. 

Clonare lo script di audit del login

1. Da Admin (nel pannello laterale), clicca su Script.

Appare la pagina degli Script

2. Vai alla Libreria Script Condivisi e cerca lo script chiamato Login Audit (puoi usare la casella Nome Script per filtrare i risultati)

3. Clicca su Clona per copiare lo script in I Miei Script.

Ora troverai lo script sotto 'I Miei Script' con il nome 'Login Audit (copia).

4. Esegui lo script clonato sui tuoi dispositivi, consulta l'articolo Esegui uno Script, per saperne di più. Avrai un nuovo file .csv nel percorso che hai scelto in $ResultFile come di seguito.