|
Как с помощью журнала событий windows определить вход / выход в систему разных УЗ
Есть компьютер с ОС windowds 7, на данном пк несколько учетный записей, необходимо просмотреть когда был выполнен вход\выход одной УЗ. Зашел в Журнал событий на вкладку безопасность, нашел событие входа и выхода в систему, но там указывает не только УЗ пользователей но и куча системных. В общем куча информации и отследить конкретного пользователя очень сложно. Подскажите как можно отсортировать данный список чтобы отображалась только одна учетка? В настройках фильтра я этого не нашел. Или может я не там смотрю. Помогите пожалуйста.
|
v.arnautov,
528 или 4624 — Успешный вход в систему |
Hetman,
мне это известно, 4634 выход из системы. Если искать по этим кодам, то выдает все УЗ которые выполняли вход и выход, а меня интересует как можно отсортировать этот список для одной УЗ |
v.arnautov, скриптом PowerShell, например. Переношу в скрипты.
|
Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста.
|
Цитата:
Код:
Get-EventLog ` |
Цитата:
Скрытый текст
Код:
Index Time EntryType Source InstanceID Message |
Iska, Sorry, перепутал с Index
|
Код:
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4624} -MaxEvents 10$instanceIDs = ($eventID), ($eventID -bor 0x40000000L), ($eventID -bor 0x80000000L), ($eventID -bor 0xc0000000L) Gets only events with the specified instance IDs. Про данное свойство, читаем в справке - http://msdn.microsoft.com/en-us/libr...nstanceid.aspx Two event log entries from the same source can have matching EventID values, but have different InstanceId values due to differences in the top two bits of the resource identifier. В структуре EVENTLOGRECORD определенно только EventID - http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx Код:
PS > (get-eventlog -log 'system' -newest 200).Where{$_.instanceid -ne $_.eventid} |ft eventid,instanc |
Kazun, А как лучше найти события нужного пользователя? UserId остается пустым. Если не парсить message:
Код:
Get-WinEvent -FilterHashtable @{ LogName="Security"; ID=4624 } -MaxEvents 1000 | |
User - собственно имя пользователя
Код:
PS > Get-WinEvent -LogName Security -FilterXpath "*[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='User']]" -MaxEvents 1 |
Kazun, Спасибо
|
Можно попробовать исследовать эту тему как в следующих статьях
http://eventlogxp.com/blog/exploring...on-the-system/ http://eventlogxp.com/blog/advanced-...-descriptions/ |
Вложений: 1
Здравствуйте! Похожий вопрос по Windows 10 PRO. Делаю блокировку учётки win+L, потом ввожу пароль и захожу в журнал событий. Logon код 4624 есть, а события блокировки нет. Помогите пожалуйста найти его.
Скриншот: Файл 170266 |
Цитата:
Eventviewer eventid for lock and unlock |
Цитата:
|
| Время: 14:39. |
Время: 14:39.
© OSzone.net 2001-