DJ Mogarych
09-09-2020, 16:40
Привет!
Возникла задача выцепить имена удалённых компов, с которых пользователи, заходя по VPN, логинятся в систему.
В логах это отображается по коду события 4624 и выглядит примерно так:
Get-EventLog Security -InstanceId 4624 -Message "*S-1-0-0*" |? {$_.message -match "Имя учетной записи:\s+UserLogin"}
# message:
Сведения о сети:
Имя рабочей станции: DESKTOP-148325
Вопрос - есть ли эта информация в "живом" виде в системе, чтобы не выцеплять её из логов?
Ведь на экране блокировки локального компьютера отображается, что "юзер такой-то зашёл с такой-то удалённой машины".
Тем более, что и логон-скрипт сбор информации не вставишь, т. к. в лог безопасности неадминам лазать запрещено, а удалённо собирать это всё из логов скриптом - долго и тоскливо.
Возникла задача выцепить имена удалённых компов, с которых пользователи, заходя по VPN, логинятся в систему.
В логах это отображается по коду события 4624 и выглядит примерно так:
Get-EventLog Security -InstanceId 4624 -Message "*S-1-0-0*" |? {$_.message -match "Имя учетной записи:\s+UserLogin"}
# message:
Сведения о сети:
Имя рабочей станции: DESKTOP-148325
Вопрос - есть ли эта информация в "живом" виде в системе, чтобы не выцеплять её из логов?
Ведь на экране блокировки локального компьютера отображается, что "юзер такой-то зашёл с такой-то удалённой машины".
Тем более, что и логон-скрипт сбор информации не вставишь, т. к. в лог безопасности неадминам лазать запрещено, а удалённо собирать это всё из логов скриптом - долго и тоскливо.