Relatando no JEAReporting on JEA

Como JEA permite que usuários sem privilégios executem em um contexto privilegiado, registro em log e auditoria são extremamente importantes.Because JEA allows non-privileged users to run in a privileged context, logging and auditing are extremely important. Nesta seção, vamos percorrer as ferramentas que você pode usar para ajudá-lo com o log e relatórios.In this section, we'll run through the tools you can use to help you with logging and reporting.

Relatar ações do JEAReporting on JEA Actions

Transcrição Over The ShoulderOver-the-Shoulder Transcription

Uma das maneiras mais rápidas de obter um resumo do que está acontecendo em uma sessão do PowerShell é realizar Over the Shoulder da pessoa que está digitando.One of the quickest ways to get a summary of what's happening in a PowerShell session is to look over the shoulder of the person typing. Você pode ver os comandos, a saída desses comandos e se tudo está bem.You see their commands, the output of those commands, and all is well. Ou não, mas pelo menos você saberá.Or it's not, but at least you'll know. A transcrição do PowerShell foi projetada para dar a você uma exibição semelhante após o fato.PowerShell transcription is designed to give you a similar view after the fact.

Ao usar o campo "TranscriptDirectory" em sua configuração de sessão, o PowerShell gravará automaticamente uma transcrição de todas as ações executadas em uma determinada sessão.When using the "TranscriptDirectory" field in your Session Configuration, PowerShell will automatically record a transcript of all actions taken in a given session. Você pode encontrar transcrições de suas sessões aqui neste documento: "$env: ProgramData\JEAConfiguration\Transcripts"You can find transcripts from your sessions in this document here: "$env:ProgramData\JEAConfiguration\Transcripts"

Como você pode ver, a transcrição registra informações sobre o usuário "Conectado", o usuário "Executar como", os comandos executados na sessão e muito mais.As you can tell, the transcript records information about the "Connected" user, the "Run As" user, the commands run in the session, and more. Para obter mais informações sobre transcrições do PowerShell, confira este post de blog.For more information about PowerShell transcription, check out this blog post.

Logs de Eventos do PowerShellPowerShell Event Logs

Após ativar o registro em log no módulo, todas as ações do PowerShell também são registradas nos logs de Eventos do Windows regulares.When you have module logging turned on, all PowerShell actions are also recorded in regular Windows Event logs. Isso é um pouco mais complicado de lidar quando comparado às transcrições, mas o nível de detalhes fornecido pode ser útil.This is slightly messier to deal with when compared to transcripts, but the level of detail it gives you can be useful.

No log operacional do "PowerShell", a ID de Evento 4104 registrará cada comando invocado se você tiver habilitado o registro em log do módulo.In the "PowerShell" operational log, Event ID 4104 will record each command invoked if you have enabled module logging.

Outros logs de eventoOther Event Logs

Diferentemente dos logs do PowerShell e transcrições, outros mecanismos de registro em log não capturarão o "Usuário Conectado".Unlike PowerShell logs and transcripts, other logging mechanisms will not capture the "Connected User". Você precisará fazer alguma correlação entre outros logs e os do PowerShell para corresponder as ações tomadas.You will need to do some correlation between other logs and PowerShell logs to match up actions taken.

No log operacional do "Gerenciamento Remoto do Windows", a ID de Evento 193 registrará a SID do Usuário que se conecta e o Nome, bem como a SID da Conta Virtual RunAs auxiliar nessa correlação.In the "Windows Remote Management" operational log, Event ID 193 will record the Connecting User's SID and Name, as well as the RunAs Virtual Account's SID to assist with this correlation. Você também pode ter observado que o nome da Conta Virtual RunAs inclui o domínio e nome de usuário do usuário conectado ao final.You may have also noticed that the name of the RunAs Virtual Account includes the connecting user's domain and username at the end.

Relatórios sobre a configuração de JEAReporting on JEA Configuration

Get-PSSessionConfigurationGet-PSSessionConfiguration

Para relatar com precisão o estado do seu ambiente, é importante saber quantos pontos de extremidade JEA você tem configurados em seu computador.In order to accurately report on the state of your environment, it's important to know how many JEA endpoints you have set up on your machine. Get-PSSessionConfiguration faz exatamente isso.Get-PSSessionConfiguration does just that.

Get-PSSessionCapabilityGet-PSSessionCapability

Relatar manualmente as capacidade de um dado usuário por meio de um ponto de extremidade JEA pode ser bastante complexo.Manually reporting on the capabilities of any given user through a JEA endpoint can be quite complex. Potencialmente, você pode precisaria verificar várias capacidades de função.You would potentially need to inspect several role capabilities. Felizmente, o cmdlet "Get-PSSessionCapability" faz isso.Fortunately, the "Get-PSSessionCapability" cmdlet does this.

Para testar isso, execute o seguinte comando do prompt do administrador do PowerShell:To test this out, run the following command from an administrator PowerShell prompt:

Get-PSSessionCapability -Username 'CONTOSO\OperatorUser' -ConfigurationName JEADemo