PDA

Показать полную графическую версию : [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ


v.arnautov
23-03-2015, 19:27
Есть компьютер с ОС windowds 7, на данном пк несколько учетный записей, необходимо просмотреть когда был выполнен вход\выход одной УЗ. Зашел в Журнал событий на вкладку безопасность, нашел событие входа и выхода в систему, но там указывает не только УЗ пользователей но и куча системных. В общем куча информации и отследить конкретного пользователя очень сложно. Подскажите как можно отсортировать данный список чтобы отображалась только одна учетка? В настройках фильтра я этого не нашел. Или может я не там смотрю. Помогите пожалуйста.

Hetman
23-03-2015, 19:32
v.arnautov,
528 или 4624 — Успешный вход в систему

v.arnautov
24-03-2015, 10:12
Hetman,
мне это известно, 4634 выход из системы. Если искать по этим кодам, то выдает все УЗ которые выполняли вход и выход, а меня интересует как можно отсортировать этот список для одной УЗ

Vadikan
24-03-2015, 12:20
v.arnautov, скриптом PowerShell, например. Переношу в скрипты.

v.arnautov
24-03-2015, 13:00
Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста.

Iska
24-03-2015, 15:13
Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста. »
Который Вы напишете. Например (корректность приведённых выше ID событий не проверял; текст Message соответствует Windows Server 2008 R2, для Вашей Windows 7 — проверяйте сами):
Get-EventLog `
-ComputerName ServerName `
-LogName Security `
-InstanceID 528, 4624 `
-Message "*Account Name:*ВасяПупкин*Account Domain:*MyDomain*" | Format-List -Property TimeGenerated

Iska
24-03-2015, 15:53
InstanceId это не EventId: »
Взял Ваш скрипт.
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
...09852 мар 24 15:01 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...05672 мар 24 14:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...05671 мар 24 14:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...05638 мар 24 14:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...05637 мар 24 14:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...05073 мар 24 14:57 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...03490 мар 24 14:44 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...03046 мар 24 14:31 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...99157 мар 24 14:15 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...99154 мар 24 14:15 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
...99144 мар 24 14:15 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....

Foreigner
24-03-2015, 16:04
Iska, Sorry, перепутал с Index

Kazun
24-03-2015, 16:20
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4624} -MaxEvents 10

InstanceId(приходится 4 возможных значения на одно событие):

$instanceIDs = ($eventID), ($eventID -bor 0x40000000L), ($eventID -bor 0x80000000L), ($eventID -bor 0xc0000000L)


Gets only events with the specified instance IDs.

Про данное свойство, читаем в справке - http://msdn.microsoft.com/en-us/library/system.diagnostics.eventlogentry.instanceid.aspx

Two event log entries from the same source can have matching EventID values, but have different InstanceId values due to differences in the top two bits of the resource identifier.

В структуре EVENTLOGRECORD определенно только EventID - http://msdn.microsoft.com/en-us/library/windows/desktop/aa363646(v=vs.85).aspx



PS > (get-eventlog -log 'system' -newest 200).Where{$_.instanceid -ne $_.eventid} |ft eventid,instanc
eid -a

EventID InstanceId
------- ----------
7045 1073748869
4230 2147487878
24579 1073831939
24577 1073831937
24576 1073831936
6013 2147489661
6013 2147489661
4230 2147487878
6013 2147489661
6013 2147489661
6013 2147489661
6013 2147489661
6013 2147489661
6013 2147489661
7026 3221232498

Foreigner
24-03-2015, 16:38
Kazun, А как лучше найти события нужного пользователя? UserId остается пустым. Если не парсить message:

Get-WinEvent -FilterHashtable @{ LogName="Security"; ID=4624 } -MaxEvents 1000 |
where { $_.message -match "$($env:username)" }

Kazun
24-03-2015, 16:42
User - собственно имя пользователя
PS > Get-WinEvent -LogName Security -FilterXpath "*[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='User']]" -MaxEvents 1


ProviderName: Microsoft-Windows-Security-Auditing

TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
24.03.2015 15:56:59 4624 Сведения Вход с учетной записью выполнен успешно....

Foreigner
24-03-2015, 16:52
Kazun, Спасибо

mr.lazy.master
01-04-2016, 16:43
Можно попробовать исследовать эту тему как в следующих статьях
http://eventlogxp.com/blog/exploring-who-logged-on-the-system/
http://eventlogxp.com/blog/advanced-filtering-how-to-filter-events-by-event-descriptions/

Heavycloud
08-11-2024, 17:19
Здравствуйте! Похожий вопрос по Windows 10 PRO. Делаю блокировку учётки win+L, потом ввожу пароль и захожу в журнал событий. Logon код 4624 есть, а события блокировки нет. Помогите пожалуйста найти его.
Скриншот: 170266

NickM
08-11-2024, 18:55
Помогите пожалуйста найти его. »

Audit Other Logon/Logoff Events (https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-other-logonlogoff-events)

Eventviewer eventid for lock and unlock (https://stackoverflow.com/questions/11385164/eventviewer-eventid-for-lock-and-unlock)

Heavycloud
08-11-2024, 19:25
Audit Other Logon/Logoff Events
Eventviewer eventid for lock and unlock »
Спасибо большое, нашёл :up :oszone:




© OSzone.net 2001-2012