[Foreigner]

overrise,

Цитата:

но не пишет имени пользователя

Значит в самом логе UserName пустой.

[overrise]

В самом событии дисконнекта, если на него посмотреть, есть и имя и пк с которого вышел пользователь и его IP.
Если в журнале Windows отфильтровать событие 4779(Данное событие возникает, когда пользователь отключается от существующего сеанса служб терминалов либо переключается с существующего рабочего стола с помощью быстрого переключения пользователей.), я вижу:

AccountName serg
AccountDomain FILESERVER
LogonID 0xe44811e
SessionName RDP-Tcp#58
ClientName LAPTOP
ClientAddress 192.168.20.74

Может быть дело в парсинге данных?

[Foreigner]

Цитата overrise:

Может быть дело в парсинге данных? »

Может быть. Выложите, как выглядят эти два события. У меня нет ни одного 4779.

[overrise]

Странно, при дисконнекте по RDP выскакивать должно это событие по любому. Законнектиться, закрыть соединение и оно появляется.

Вот XML события:

Код:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
  <EventID>4779</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12551</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2020-05-16T16:29:54.469735400Z" /> 
  <EventRecordID>167278009</EventRecordID> 
  <Correlation ActivityID="{C2DFD717-2AEC-0000-1DD7-DFC2EC2AD601}" /> 
  <Execution ProcessID="736" ThreadID="3856" /> 
  <Channel>Security</Channel> 
  <Computer>fileserver</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="AccountName">serg</Data> 
  <Data Name="AccountDomain">FILESERVER</Data> 
  <Data Name="LogonID">0xe44811e</Data> 
  <Data Name="SessionName">RDP-Tcp#58</Data> 
  <Data Name="ClientName">LAPTOP</Data> 
  <Data Name="ClientAddress">192.168.20.74</Data> 
  </EventData>
  </Event>

[Foreigner]

Ну а так, что-нибудь показывает?

Код:

$report =
Get-EventLog -LogName Security -InstanceID 4624,4779 -Newest 10 |
    Foreach-Object {

        [PSCustomObject] @{

            InstanceID = $_.InstanceID
            EventID = $_.EventID
            MachineName = $_.MachineName
            UserName = $_.ReplacementStrings[5]
            TimeGenerated = $_.TimeGenerated
        }
    }

$report | Sort-Object TimeGenerated | Format-Table

[overrise]

Вот такое выдает, по ходу там имя пользователя в другой переменной хранится при дисконнекте, если я правильно понимаю:

InstanceID EventID MachineName UserName TimeGenerated
---------- ------- ----------- -------- -------------
4624 4624 fileserver serg 18.05.2020 8:15:03
4624 4624 fileserver serg 18.05.2020 8:15:03
4624 4624 fileserver DWM-7 18.05.2020 8:15:03
4624 4624 fileserver DWM-7 18.05.2020 8:15:03
4779 4779 fileserver 192.168.20.74 18.05.2020 8:15:51
4624 4624 fileserver serg 18.05.2020 8:16:02
4624 4624 fileserver serg 18.05.2020 8:16:03
4624 4624 fileserver serg 18.05.2020 8:16:03
4624 4624 fileserver DWM-7 18.05.2020 8:16:03
4624 4624 fileserver DWM-7 18.05.2020 8:16:03

[overrise]

Если я беру событие 4779 и вывожу echo $_.ReplacementStrings, то получаю вот такие ответы:

serg
FILESERVER
0xe44811e
RDP-Tcp#77
LAPTOP
192.168.20.74

serg
FILESERVER
0xe44811e
RDP-Tcp#78
LAPTOP
192.168.20.74

[Foreigner]

Цитата overrise:

то получаю вот такие ответы »

Это для одного события 4779 или для двух? Вообще как-то странно, имхо, должен быть какой-то стандарт. Не прописывать же условия для каждого события:

Код:

$report =
Get-EventLog -LogName Security -InstanceID 4624,4779 -Newest 10 |
    Foreach-Object {

        if ($_InstanceID -eq 4624) { $n = 5 }
        else { $n = 0 }

        [PSCustomObject] @{

            InstanceID = $_.InstanceID
            EventID = $_.EventID
            MachineName = $_.MachineName
            UserName = $_.ReplacementStrings[$n]
            TimeGenerated = $_.TimeGenerated
        }
    }

$report | Sort-Object TimeGenerated | Format-Table

[overrise]

При этом 4624:

Код:

S-1-0-0
-
-
0x0
S-1-5-21-2348659260-1389582479-2633529765-1000
serg
FILESERVER
0x1eba2ed5
3
NtLmSsp 
NTLM
LAPTOP
{00000000-0000-0000-0000-000000000000}
-
NTLM V2
128
0x0
-
192.168.20.74
0
%%1833
-
-
-
%%1843
0x0
%%1843

Цитата Foreigner:

Это для одного события 4779 или для двух? Вообще как-то странно, имхо, должен быть какой-то стандарт. Не прописывать же условия для каждого события: »

Это два события.

А вот что выдает новый скрипт:

InstanceID EventID MachineName UserName TimeGenerated
---------- ------- ----------- -------- -------------
4624 4624 fileserver S-1-5-18 18.05.2020 8:45:01
4624 4624 fileserver S-1-5-18 18.05.2020 8:45:01
4624 4624 fileserver S-1-5-18 18.05.2020 8:50:00
4624 4624 fileserver S-1-5-18 18.05.2020 8:55:00
4779 4779 fileserver serg 18.05.2020 8:56:27
4624 4624 fileserver S-1-0-0 18.05.2020 8:56:33
4624 4624 fileserver S-1-5-18 18.05.2020 8:56:34
4624 4624 fileserver S-1-5-18 18.05.2020 8:56:34
4624 4624 fileserver S-1-5-18 18.05.2020 8:56:34
4624 4624 fileserver S-1-5-18 18.05.2020 8:56:34

Походу да, Microsoft решила сделать для каждого события свой набор переменных.

[Foreigner]

Забыл точку после $_

Код:

if ($_.InstanceID