[Iska]

rises, по поводу «Такого не может быть, потому что такого не может быть никогда» — оставлю на Вашей совести. Это… такое себе… Как показывает практика, то, что может произойти — рано или поздно, но происходит.

Цитата rises:

нужно хранить это время в файлике »

Или в реестре. Но лучше вообще поменять парадигму (см. ниже).

Цитата rises:

Или читать последнюю строчку лог файла и брать из нее время. Есть ли такая функция как в unix подобных системах? Чтобы не затрачивать время на чтение всего файла, скажем который вырастет до 50Мб, и добавит время работы скрипта? »

Писать лучше всего не в текстовый файл, а в базу данных, пусть даже в mdb. Поскольку содержимым базы данных легко манипулировать — и запросы произвольные к ней составлять, и время последней записи получать и прочая, и прочая…

[rises]

Я согласен, что можно сделать красиво, но лично для моих целей этого достаточно. Благодаря этому логу я наглядно вижу, что попытки анонимного доступа прекращены и бонусом к этому я имею себе лог файл времени и источника входа пользователей на сервер. Можно допилить и сделать качественный и правильный продукт, но тут уже вопрос цель/средство. Может быть кто-то допилит этот скрипт и сделает что-то более красивое и правильное. ;-)

[Sham]

все данные можно взять из массива строк ReplacementStrings, и желательно не лезть в Message c тяжёлыми регулярками.

[Sham]

структура ReplacementStrings привязана к eventid, поэтому идея такая

Код:

$eventid = 4624
$logontypes = @{
	2 = 'Interactive - local logon';
	3 = 'Network conection to shared folder)';
	4 = 'Batch';
	5 = 'Service';
	7 = 'Unlock (after screensaver)';
	8 = 'NetworkCleartext';
	9 = 'NewCredentials (local impersonation process under existing connection)';
	10 = 'RDP';
	11 = 'CachedInteractive'
}

get-eventlog -LogName Security -InstanceId $eventid -after (get-date).AddMinutes(-1000) |
	select TimeGenerated, ReplacementStrings |
	where {$arr = $_.ReplacementStrings; $arr[18] -ne '-'} | #IP
	foreach {
		$ip = $arr[18]
		$domain_name = $arr[5] + @('', ('\' + $arr[11]))[[bool]$arr[11]]
		$logontype = $arr[8] + ':' + $logontypes[[int]$arr[8]]

		$_.TimeGenerated, $ip, $domain_name, $logontype -join '; '
	}

[rises]

Sham, крутецкая тема, спасибо, может кому еще сгодится. :-)

[rises]

Вот такой код оставил, крутится нормально. Запускается шедулером через каждые пол часа.
Берет время изменения файла и от него выводит лог.

Код:

$file = Get-Item 'C:\logs\logons\logon.txt'

$eventid = 4624
$logontypes = @{
	2 = 'Interactive - local logon';
	3 = 'Network conection to shared folder)';
	4 = 'Batch';
	5 = 'Service';
	7 = 'Unlock (after screensaver)';
	8 = 'NetworkCleartext';
	9 = 'NewCredentials (local impersonation process under existing connection)';
	10 = 'RDP';
	11 = 'CachedInteractive'
}

get-eventlog -LogName Security -InstanceId $eventid -after ($file.LastWriteTime) |
	select TimeGenerated, ReplacementStrings |
	where {$arr = $_.ReplacementStrings; $arr[18] -ne '-'} | #IP
	foreach {
		$ip = $arr[18]
		$domain_name = $arr[5] + @('', ('\' + $arr[11]))[[bool]$arr[11]]
		$logontype = $arr[8] + ':' + $logontypes[[int]$arr[8]]

		$_.TimeGenerated, $ip, $domain_name, $logontype -join '; '
	} >> C:\logs\logons\logon.txt

[rises]

Кстати заметил, что скрипт немного несвязно выводит даты, можно как-то вывод упорядочить по дате и времени?
Выводит как-то так:

07.05.2020 14:36:44; 192.168.0.249; АНОНИМНЫЙ ВХОД\JUL; 3:Network conection to shared folder)
07.05.2020 15:30:01; 192.168.0.249; АНОНИМНЫЙ ВХОД\JUL; 3:Network conection to shared folder)
07.05.2020 15:25:21; 192.168.0.249; АНОНИМНЫЙ ВХОД\JUL; 3:Network conection to shared folder)

[Foreigner]

Цитата rises:

можно как-то вывод упорядочить по дате и времени? »

Код:

....|
select TimeGenerated, ReplacementStrings | sort TimeGenerated |
where....

[rises]

Foreigner, спасибо, вроде бы едет.

[overrise]

А можно как-то добавить сюда не только логин, но и дисконнект?
Если добавить событие $eventid = 4624,4779, то он пишет в лог IP адрес, но не пишет имени пользователя, можно это как-то подправить?

Тогда лог будет более полноценным и на коннект и на дисконнект?

Пишет на дисконнект так:
16.05.2020 19:30:00; 192.168.20.74; serg\FILESERVER; 10:RDP
16.05.2020 19:40:16; ; 192.168.20.74; :
16.05.2020 19:40:21; 192.168.20.74; serg\LAPTOP; 3:Network conection to shared folder