Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Скриптовые языки администрирования Windows (http://forum.oszone.net/forumdisplay.php?f=102)
-   -   [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ (http://forum.oszone.net/showthread.php?t=297359)

v.arnautov 23-03-2015 19:27 2486588

Как с помощью журнала событий windows определить вход / выход в систему разных УЗ
 
Есть компьютер с ОС windowds 7, на данном пк несколько учетный записей, необходимо просмотреть когда был выполнен вход\выход одной УЗ. Зашел в Журнал событий на вкладку безопасность, нашел событие входа и выхода в систему, но там указывает не только УЗ пользователей но и куча системных. В общем куча информации и отследить конкретного пользователя очень сложно. Подскажите как можно отсортировать данный список чтобы отображалась только одна учетка? В настройках фильтра я этого не нашел. Или может я не там смотрю. Помогите пожалуйста.

Hetman 23-03-2015 19:32 2486591

v.arnautov,
528 или 4624 — Успешный вход в систему

v.arnautov 24-03-2015 10:12 2486794

Hetman,
мне это известно, 4634 выход из системы. Если искать по этим кодам, то выдает все УЗ которые выполняли вход и выход, а меня интересует как можно отсортировать этот список для одной УЗ

Vadikan 24-03-2015 12:20 2486854

v.arnautov, скриптом PowerShell, например. Переношу в скрипты.

v.arnautov 24-03-2015 13:00 2486867

Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста.

Iska 24-03-2015 15:13 2486923

Цитата:

Цитата v.arnautov
Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста. »

Который Вы напишете. Например (корректность приведённых выше ID событий не проверял; текст Message соответствует Windows Server 2008 R2, для Вашей Windows 7 — проверяйте сами):
Код:

Get-EventLog `
    -ComputerName ServerName `
    -LogName Security `
    -InstanceID 528, 4624 `
    -Message "*Account Name:*ВасяПупкин*Account Domain:*MyDomain*" | Format-List -Property TimeGenerated


Iska 24-03-2015 15:53 2486941

Цитата:

Цитата Foreigner
InstanceId это не EventId: »

Взял Ваш скрипт.
Скрытый текст
Код:

  Index Time          EntryType  Source                InstanceID Message                                                   
  ----- ----          ---------  ------                ---------- -------                                                   
...09852 мар 24 15:01  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...05672 мар 24 14:59  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...05671 мар 24 14:59  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...05638 мар 24 14:59  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...05637 мар 24 14:59  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...05073 мар 24 14:57  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...03490 мар 24 14:44  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...03046 мар 24 14:31  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...99157 мар 24 14:15  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...99154 мар 24 14:15  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....                 
...99144 мар 24 14:15  SuccessA... Microsoft-Windows...        4624 An account was successfully logged on....


Foreigner 24-03-2015 16:04 2486948

Iska, Sorry, перепутал с Index

Kazun 24-03-2015 16:20 2486956

Код:

Get-WinEvent -FilterHashtable @{LogName="Security";ID=4624} -MaxEvents 10
InstanceId(приходится 4 возможных значения на одно событие):

$instanceIDs = ($eventID), ($eventID -bor 0x40000000L), ($eventID -bor 0x80000000L), ($eventID -bor 0xc0000000L)


Gets only events with the specified instance IDs.

Про данное свойство, читаем в справке - http://msdn.microsoft.com/en-us/libr...nstanceid.aspx

Two event log entries from the same source can have matching EventID values, but have different InstanceId values due to differences in the top two bits of the resource identifier.

В структуре EVENTLOGRECORD определенно только EventID - http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx



Код:

PS > (get-eventlog -log 'system' -newest 200).Where{$_.instanceid -ne $_.eventid} |ft eventid,instanc
eid -a

EventID InstanceId
------- ----------
  7045 1073748869
  4230 2147487878
  24579 1073831939
  24577 1073831937
  24576 1073831936
  6013 2147489661
  6013 2147489661
  4230 2147487878
  6013 2147489661
  6013 2147489661
  6013 2147489661
  6013 2147489661
  6013 2147489661
  6013 2147489661

7026 3221232498

Foreigner 24-03-2015 16:38 2486966

Kazun, А как лучше найти события нужного пользователя? UserId остается пустым. Если не парсить message:
Код:

Get-WinEvent -FilterHashtable @{ LogName="Security"; ID=4624 } -MaxEvents 1000 |
where { $_.message -match "$($env:username)" }


Kazun 24-03-2015 16:42 2486967

User - собственно имя пользователя
Код:

PS > Get-WinEvent -LogName Security -FilterXpath  "*[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='User']]" -MaxEvents 1


  ProviderName: Microsoft-Windows-Security-Auditing

TimeCreated                    Id LevelDisplayName Message
-----------                    -- ---------------- -------
24.03.2015 15:56:59          4624 Сведения        Вход с учетной записью выполнен успешно....


Foreigner 24-03-2015 16:52 2486970

Kazun, Спасибо

mr.lazy.master 01-04-2016 16:43 2622169

Можно попробовать исследовать эту тему как в следующих статьях
http://eventlogxp.com/blog/exploring...on-the-system/
http://eventlogxp.com/blog/advanced-...-descriptions/

Heavycloud 08-11-2024 17:19 3032567

Вложений: 1
Здравствуйте! Похожий вопрос по Windows 10 PRO. Делаю блокировку учётки win+L, потом ввожу пароль и захожу в журнал событий. Logon код 4624 есть, а события блокировки нет. Помогите пожалуйста найти его.
Скриншот: Файл 170266

NickM 08-11-2024 18:55 3032572

Цитата:

Цитата Heavycloud
Помогите пожалуйста найти его. »

Audit Other Logon/Logoff Events

Eventviewer eventid for lock and unlock

Heavycloud 08-11-2024 19:25 3032573

Цитата:

Цитата NickM
Audit Other Logon/Logoff Events
Eventviewer eventid for lock and unlock »

Спасибо большое, нашёл :up :oszone:


Время: 14:39.

Время: 14:39.
© OSzone.net 2001-