[玩转系统] 自动化 PowerShell 脚本的审核

作者：精品下载站日期：2024-12-14 13:38:35 浏览：15 分类：玩电脑

自动化 PowerShell 脚本的审核

现代 PowerShell 脚本 API，例如 MS Graph PowerShell 和 Exchange Online Management（v2.0.3 或更高版本），即使在受 MFA 保护的环境中也可以实现自动化。

设置自动化脚本编写的所有要求后，您可以轻松地从一台或多台自动化服务器安排脚本。

但是如何跟踪脚本所做的更改呢？

Easy365管理器

适用于 Active Directory 的 Office 365 管理工具

直接从 AD 执行所有日常 Office 365 管理

删除本地 Exchange 服务器

如何识别自动脚本更改

通过应用程序注册运行的所有自动化脚本都会记录在 Azure 统一审核日志中。

脚本的 ID 由组织名称和 Azure 应用程序中的 AppId 组成。

在本文中，我们设置了一个具有以下 ID 的 Azure 应用程序：“81d79cde-c79e-4608-ba15-8d1e66eab6bc”。

在这种情况下，可以使用以下 ID 来过滤审核日志：“skrubbeltrang.onmicrosoft.com\81d79cde-c79e-4608-ba15-8d1e66eab6bc”：

$AuditLog = Search-UnifiedAuditLog -StartDate "2022-09-19" -EndDate "2022-09-21" -UserIds "skrubbeltrang.onmicrosoft.comd79cde-c79e-4608-ba15-8d1e66eab6bc" -ResultSize 5000
$ConvertAudit = $AuditLog | Select-Object -ExpandProperty AuditData | ConvertFrom-Json
$ConvertAudit | Select-Object CreationTime,UserId,Operation,Workload,ObjectID,ClientIP,Parameters | ft

输出将显示使用 Azure 应用程序标识执行了哪些操作（确切的命令和参数！）：

PS C:\> $ConvertAudit | Select-Object CreationTime,UserId,Operation,Workload,ObjectID,ClientIP,Parameters | ft

CreationTime        UserId                                                             Operation   Workload ObjectId ClientIP            Parameters
------------        ------                                                             ---------   -------- -------- --------            ----------
2022-09-20T07:10:09 skrubbeltrang.onmicrosoft.comd79cde-c79e-4608-ba15-8d1e66eab6bc Set-Mailbox Exchange Lene Hau 12.7.47.34:40182 {@{Name=Identity; Value=lene.hau}, @{Name=GrantSendOnBehalfTo; Value=hans.ussing}}
2022-09-20T06:55:58 skrubbeltrang.onmicrosoft.comd79cde-c79e-4608-ba15-8d1e66eab6bc Set-Mailbox Exchange Lene Hau 12.7.47.34:19333 {@{Name=Identity; Value=lene.hau}, @{Name=GrantSendOnBehalfTo; Value=hans.c.orsted}}

如果您正在遍历大量数据，则可能需要调整方式来绕过 Search-UnifiedAuditLog CmdLet 的限制。

阅读本文，全面了解有效的统一审核日志解析。