Tôi đã được yêu cầu tìm hiểu khi một người dùng đã đăng nhập vào hệ thống trong tuần trước. Bây giờ nhật ký kiểm toán trong Windows sẽ chứa tất cả thông tin tôi cần. Tôi nghĩ rằng nếu tôi tìm kiếm ID sự kiện 4624 (Đăng nhập thành công) với một người dùng AD cụ thể và Đăng nhập loại 2 (Đăng nhập tương tác) thì nó sẽ cung cấp cho tôi thông tin tôi cần, nhưng trong suốt cuộc đời tôi không thể tìm ra cách lọc thực sự Nhật ký sự kiện để có được thông tin này. Có thể bên trong Trình xem sự kiện hay bạn cần sử dụng một công cụ bên ngoài để phân tích cú pháp đến cấp độ này?
Tôi tìm thấy http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html dường như là một phần của những gì tôi cần. Tôi đã sửa đổi nó một chút để chỉ cho tôi giá trị 7 ngày qua. Dưới đây là XML tôi đã thử.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Nó chỉ cho tôi 7 ngày qua, nhưng phần còn lại không hoạt động.
Bất cứ ai có thể giúp tôi với điều này?
BIÊN TẬP
Nhờ những gợi ý của Lucky Luke mà tôi đã đạt được tiến bộ. Dưới đây là truy vấn hiện tại của tôi, mặc dù như tôi sẽ giải thích nó không trả về bất kỳ kết quả nào.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Như tôi đã đề cập, nó không trả về bất kỳ kết quả nào nên tôi đã làm rối tung nó lên một chút. Tôi có thể lấy nó để tạo ra kết quả chính xác cho đến khi tôi thêm vào dòng LogonType. Sau đó, nó không trả về kết quả. Bất cứ ý tưởng tại sao điều này có thể được?
CHỈNH SỬA 2
Tôi đã cập nhật dòng LogonType thành như sau:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Điều này sẽ ghi lại các Workstation Logons cũng như Workstation Unlocks, nhưng tôi vẫn không nhận được gì. Sau đó tôi sửa đổi nó để tìm kiếm các loại Đăng nhập khác như 3 hoặc 8 mà nó tìm thấy rất nhiều. Điều này khiến tôi tin rằng truy vấn hoạt động chính xác, nhưng vì một số lý do, không có mục nào trong Nhật ký sự kiện với Loại đăng nhập bằng 2 và điều này không có ý nghĩa với tôi. Có thể tắt cái này không?