PowerShell Auditing in SharePoint On-Premises
avatar

Seit PowerShell V3 gibt es die (oft übersehene) Möglichkeit die Ausführung von Cmdlets bestimmter Module und Snap-ins zu überwachen. Dies bietet in einer SharePoint Umgebung den Vorteil Aktionen verschiedenster Benutzer auf den Servern überwachen bzw. nachvollziehen zu können.

Das Tracing wird über die Eigenschaft LogPipelineExecutionDetails der Module bzw. Snap-Ins gesteuert. Hier wurde es mit dem Kommando (GET-PSSnapin Microsoft.SharePoint.Powershell).LogPipelineExecutionDetails = $true für das SharePoint Snap-In aktiviert:logpipelineexecutiondetails

Die Logs werden in den Powershell Eventlogs (Event ID 800) angezeigt. Hier die Ausführung des Cmdlet Get-SPSite mit den entsprechenden Parametern:eventid800

Die Events können natürlich auch mit PowerShell aufgerufen werden, auch ist es möglich diese an eine bestimmte Person oder ein Postfach zu senden.

 

Schreibe einen Kommentar