none
Script para guardar registro de seguridad 4663 RRS feed

  • Pregunta

  • Buenas a todos y gracias de antemano, necesito hacer de forma automatica cada semana una copia del registro de eventos de seguridad de Windows 2012Server R2, en concreto de auditar acceso a datos (4663), y luego borrarlo para dejar espacio para los registros de la siguiente semana.

    Este registro actualmente lo tengo que filtrar y luego guardarlo manualmente por eso necesitaba automatizarlo para evitar esta laboriosa tarea cada semana.

    Por este motivo me pongo en contacto con ustedes, por si me pueden localizar un script que haga esto, a través de tareas programadas o algo similar

    • Cambiado Moderador M viernes, 28 de agosto de 2015 14:31 Scripting
    jueves, 27 de agosto de 2015 11:32

Todas las respuestas

  • Hola Playleo1981,

    Pues el comando Get-EventLog podría ayudarte.

    # Inicio del código

    $dateNow = Get-Date

    $dateAfter = $dateNow.AddDays(7)

    Get-EventLog -LogName Security -After $dateAfter -Before $dateNow | Where-Object {$_.EventID -eq 4663} | Export-CLIXML "C:\Temp\fichero.xml"

    # Final del código

    (Nota: he puesto "Security" pero si no es ese LogName, cámbialo por el que sea)

    Cuando tengas que recuperar la información, haciendo un Import-CLIXML te serviría:

    $datos = Import-CLIXML "C:\Temp\fichero.xml"

    Si quisieras hacer un Export-CSV también te serviría pero tendrías que tratar la información antes de guardarla en un fichero.

    Espero que te sirva.

    Saludos,

    Manuel.

    lunes, 31 de agosto de 2015 17:47