Lọc Nhật ký bảo mật theo người dùng và loại đăng nhập

17

Tôi đã được yêu cầu tìm hiểu khi một người dùng đã đăng nhập vào hệ thống trong tuần trước. Bây giờ nhật ký kiểm toán trong Windows sẽ chứa tất cả thông tin tôi cần. Tôi nghĩ rằng nếu tôi tìm kiếm ID sự kiện 4624 (Đăng nhập thành công) với một người dùng AD cụ thể và Đăng nhập loại 2 (Đăng nhập tương tác) thì nó sẽ cung cấp cho tôi thông tin tôi cần, nhưng trong suốt cuộc đời tôi không thể tìm ra cách lọc thực sự Nhật ký sự kiện để có được thông tin này. Có thể bên trong Trình xem sự kiện hay bạn cần sử dụng một công cụ bên ngoài để phân tích cú pháp đến cấp độ này?

Tôi tìm thấy http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html dường như là một phần của những gì tôi cần. Tôi đã sửa đổi nó một chút để chỉ cho tôi giá trị 7 ngày qua. Dưới đây là XML tôi đã thử.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

Nó chỉ cho tôi 7 ngày qua, nhưng phần còn lại không hoạt động.

Bất cứ ai có thể giúp tôi với điều này?

BIÊN TẬP

Nhờ những gợi ý của Lucky Luke mà tôi đã đạt được tiến bộ. Dưới đây là truy vấn hiện tại của tôi, mặc dù như tôi sẽ giải thích nó không trả về bất kỳ kết quả nào.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

Như tôi đã đề cập, nó không trả về bất kỳ kết quả nào nên tôi đã làm rối tung nó lên một chút. Tôi có thể lấy nó để tạo ra kết quả chính xác cho đến khi tôi thêm vào dòng LogonType. Sau đó, nó không trả về kết quả. Bất cứ ý tưởng tại sao điều này có thể được?

CHỈNH SỬA 2

Tôi đã cập nhật dòng LogonType thành như sau:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

Điều này sẽ ghi lại các Workstation Logons cũng như Workstation Unlocks, nhưng tôi vẫn không nhận được gì. Sau đó tôi sửa đổi nó để tìm kiếm các loại Đăng nhập khác như 3 hoặc 8 mà nó tìm thấy rất nhiều. Điều này khiến tôi tin rằng truy vấn hoạt động chính xác, nhưng vì một số lý do, không có mục nào trong Nhật ký sự kiện với Loại đăng nhập bằng 2 và điều này không có ý nghĩa với tôi. Có thể tắt cái này không?

windows-server-2008  eventviewer  security  windows-event-log 
Trido
nguồn
Có vẻ như truy vấn của bạn đang hoạt động nếu bạn nhận được kết quả với các loại đăng nhập khác. Có thể bạn cần xem các loại đăng nhập khác, cụ thể là loại đăng nhập 11 thường được sử dụng thay vì đăng nhập loại 2 trên Vista và sau đó. Bạn có thể xem tất cả các loại đăng nhập tại đây: myeventlog.com/search/show/799 . Tôi đặt cược đăng nhập của bạn là loại 11. Hãy cho tôi biết.
Lucky Luke
Thật thú vị, kết quả không 3 duy nhất tôi nhận được là 8 mà tôi đã xác định. Vì một số lý do, không có 2, 7 hoặc 11 mà tôi mong đợi được thấy.
Trido
Bạn đã xác minh cài đặt kiểm toán của mình trong chính sách bảo mật cục bộ (hoặc chính sách tên miền nếu đó là một phần của tên miền) để đảm bảo rằng tất cả các đăng nhập đang được kiểm toán? Hãy cho tôi biết nếu bạn cần thêm thông tin.
Lucky Luke
Đây thực sự là vấn đề. Tôi đã đi vào Chính sách nhóm và nó đã bị tắt.
Trido
Hấp dẫn. Những thiết lập chính xác mà bạn đã kết thúc bật? Điều hơi lạ là bạn đã thấy các sự kiện đăng nhập khác, nhưng không phải là đăng nhập bảng điều khiển. Tôi có ấn tượng rằng tất cả chúng đều được cấu hình với cùng một cài đặt.
Lucky Luke

Câu trả lời:

17

Bạn đang đi đúng hướng - một trong những sai lầm trong truy vấn của bạn là khoảng trắng trong Type Loại đăng nhập ', nó chỉ nên là' LogonType '.

Tôi đã dán một truy vấn dưới đây mà tôi vừa xác minh công việc. Đó là một chút đơn giản nhưng bạn có ý tưởng. Nó cho bạn thấy tất cả 4624 sự kiện với loại đăng nhập 2, từ người dùng 'john.doe'.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

Bạn có thể tìm hiểu thêm về các truy vấn XML trong trình xem sự kiện tại đây: http://bloss.technet.com/b/askds/archive/2011/09/26/advified-xml-filtering-in-the-windows-event- người xem.aspx .

Bạn có thể truy vấn các sự kiện từ dòng lệnh với wevtutil.exe: http://technet.microsoft.com/en-us/magazine/dd 310329.aspx .

May mắn
nguồn
Hmm, đây là số lẻ. Khi tôi chạy nó, tôi nhận được 0 kết quả trả về. Ngay cả khi tôi đơn giản hóa truy vấn thành Loại Đăng nhập. Tôi thực sự không hiểu tại sao nó không hoạt động.
Trido
Tôi đã cập nhật câu hỏi của tôi với câu hỏi và vấn đề hiện tại của tôi.
Trido
Đây chính xác là những gì tôi cần để tìm ra ai đã kết nối với một trong các máy chủ của tôi thông qua RDP. Tôi chỉ phải thay đổi LogonType thành '10' (và xóa bit về tên người dùng).
Charles Burge
1

Tôi tìm thấy câu hỏi này và phải thực hiện một số công việc để phân tích nội dung cùng nhau, từ câu trả lời được chấp nhận và cập nhật câu hỏi, để có được một giải pháp chức năng. Tôi hình dung tôi sẽ đăng một cú pháp truy vấn hoàn chỉnh, hoạt động ở đây để tham khảo trong tương lai:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

Truy vấn trên sẽ hoạt động để thu hẹp các sự kiện theo các tham số sau:

  • Các sự kiện trong Nhật ký bảo mật.
  • Với ID sự kiện 6424
  • Xảy ra trong vòng 30 ngày qua.
  • Liên kết với người dùng john.doe.
  • Với LogonType 10.

Bạn có thể thay đổi LogonTypes trong bộ lọc bằng cách thay đổi (Data='10')trong đoạn mã trên. Ví dụ, bạn có thể muốn làm (Data='2')hoặc (Data='10' or Data='2').

Iszi
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.