Làm cách nào tôi có thể sử dụng Trình xem sự kiện để xác nhận thời gian đăng nhập được lọc bởi Người dùng?

Tôi được yêu cầu đăng nhập thời gian bắt đầu và kết thúc tại nơi làm việc. Thỉnh thoảng tôi quên làm điều này và có một ý tưởng sáng sủa rằng việc kiểm tra nhật ký sự kiện Bảo mật sẽ cho phép tôi hồi tưởng lại thời gian của mình.

Thật không may, nhật ký lớn hơn nhiều so với tôi nghĩ và mất một lúc thậm chí để hiển thị trong Trình xem sự kiện. Ngoài ra, tôi đã thử lọc nhật ký theo ngày và userid nhưng cho đến nay điều này không mang lại kết quả.

Giả sử ý tưởng của tôi là khả thi, bất cứ ai cũng có thể thực hiện những gì tôi cần làm để lấy thông tin tôi cần?

CẬP NHẬT:

Tôi đã làm theo hướng dẫn của @surfasb và nhận được điểm mà tôi chỉ có thể thấy thông tin đăng nhập, tuy nhiên một số trong số đó là thông tin đăng nhập ở cấp Hệ thống (tức là không phải con người). Tôi chỉ muốn xem thông tin đăng nhập 'vật lý' của mình (sẽ chỉ có hai hoặc ba sự kiện như vậy vào các ngày trong tuần) và không phải tất cả các nội dung khác.

Tôi đã thử đặt tên người dùng Windows của mình vào trường như được hiển thị bên dưới bằng cách sử dụng cả hai domain\usernamevà chỉ usernamenhưng điều này chỉ lọc ra mọi thứ. Bạn có thể giúp đỡ?

Cấu hình mặc định làm cho nó khá lộn xộn. Điều này là do Windows cũng theo dõi bất cứ lúc nào bạn phải đăng nhập vào máy tính mạng. Nó cũng theo dõi mọi lúc tài khoản máy tính của bạn, không phải tài khoản người dùng, tạo một phiên đăng nhập.

Bạn nên sử dụng tùy chọn đăng nhập tài khoản kiểm toán chứ không phải tùy chọn đăng nhập kiểm toán .

Các sự kiện bạn đang tìm kiếm sẽ có Tên miền đủ điều kiện của tài khoản của bạn. Ví dụ: nếu bạn không ở trên một tên miền, văn bản tìm kiếm bạn đang tìm kiếm là computer_name / account_name.

biên tập

Một ý tưởng khác là tạo các kịch bản đăng nhập và đăng xuất. Tùy thuộc vào phiên bản Windows 7 của bạn, bạn có thể sử dụnggpedit.msc để hiển thị Bảng điều khiển chính sách nhóm.

Sau đó, bạn sẽ chỉ cần một tệp tin có lệnh logevent "My login/logoff event" -e 666 . Sự kiện này sẽ hiển thị trong Nhật ký ứng dụng

biên tập

Điều này sẽ dễ dàng hơn nếu bạn không ở trên một miền. Nếu bạn đi trong tùy chọn Bảo mật cục bộ / Chính sách cục bộ / Bảo mật, hãy tìm tùy chọn "Buộc kiểm toán ...". Tôi quên tên của nó. Nhưng vô hiệu hóa nó. Điều đó sẽ làm cho Nhật ký bảo mật ít dài dòng hơn, vì một người dùng đăng nhập tại bàn điều khiển, trong một số trường hợp, chia sẻ cùng một ID sự kiện. Một số ID sự kiện bạn muốn tìm:

• Sự kiện 4647 - đây là khi bạn nhấn nút đăng xuất, khởi động lại, tắt máy. Cập nhật Windows khởi động lại máy tính của bạn đôi khi cũng tắt sự kiện này :(
• Sự kiện 4648 - đây là khi một quá trình (bao gồm màn hình đăng nhập) sử dụng thông tin xác thực rõ ràng của bạn, thay vì nói mã thông báo, để đăng nhập. Điều này bao gồm lệnh Runas và rất nhiều lần, các chương trình sao lưu.
• Sự kiện 4800 - Khi máy trạm của bạn bị khóa, như nhấn WIN + L
• Sự kiện 4801 - Khi máy trạm của bạn được mở khóa

Nói chung, bạn có thể nhận được bằng cách sử dụng các sự kiện 4647 và 4648. Thật không may, không có phương pháp chữa cháy chắc chắn vì có hàng ngàn điều xảy ra khi bạn đăng nhập và đăng xuất máy tính.

Vì nó đáng giá, trong công việc, chúng tôi tìm kiếm tập lệnh đăng nhập để kích hoạt và khi đăng xuất, có hai chương trình cũng như một sự kiện đồng bộ hóa mà chúng tôi tìm kiếm là sự kiện cháy chắc chắn.

Giải pháp đơn giản:

1. Mở sự kiện hoặc sự kiện mà bạn muốn tạo chế độ xem tùy chỉnh.
2. Di chuyển cửa sổ ở nơi nào đó sẽ hiển thị (một bên của màn hình, màn hình thứ hai hoặc in nó)
3. Tạo chế độ xem mới và xác định bằng các tham số sự kiện đã mở (ví dụ: Người dùng, Từ khóa, Máy tính, v.v ....) Trong trường hợp này, người dùng là N / A nên tôi chỉ sử dụng ID máy tính và sự kiện (4648, không phải 4624)
4. Sau khi sửa đổi các tham số khi cần thiết, lưu lại.

Phương pháp này hữu ích cho bất kỳ sự kiện hoặc tập hợp các sự kiện bạn muốn đăng nhập. Nó không yêu cầu các nhiệm vụ phức tạp hoặc phần mềm của bên thứ ba.

Tôi đã có cùng một vấn đề và đã giải quyết nó bằng các bước sau:

A: Cài đặt MyEventViewer (phần mềm miễn phí) và mở danh sách sự kiện trong chương trình này.

Thật không may, tôi không tìm thấy cách lọc các sự kiện theo mô tả (và mô tả là nơi tên đăng nhập được lưu trữ) trong MyEventViewer, nhưng ít nhất nhưng nó sẽ hiển thị mô tả trong bảng chính.

B: Xuất bảng này sang log1.txt

C: Sử dụng một số chương trình tìm kiếm văn bản nâng cao để trích xuất thời gian đăng nhập cho người dùng cụ thể.

Tôi đã sử dụng grep.

Đây là định dạng của các sự kiện đã xuất:

Loại nhật ký: Bảo mật

Loại sự kiện: Kiểm toán thành công

Thời gian: 10.12.2012 18:33:24

ID sự kiện: 680

Tên người dùng: HỆ THỐNG

Máy tính: YYY

Mô tả sự kiện: Nỗ lực đăng nhập bằng cách: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Tài khoản đăng nhập: XXX Nguồn máy trạm: YYY Mã lỗi: 0x0

==================================================

==================================================

Đầu tiên giải nén tất cả các lần đăng nhập của người dùng XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Điều này sẽ lọc các lần thử đăng nhập của người dùng XXX và in nó lên log2.txt. Tùy chọn -B 4 grep là cần thiết vì thông tin chúng tôi đang tìm kiếm (thời gian đăng nhập) được lưu trữ 4 dòng phía trên dòng có chứa mẫu chúng tôi đang tìm kiếm (tên người dùng).

D: Trích xuất thời gian đăng nhập từ log2.txt

$ grep "Time" log2.txt > log3.txt

Bây giờ log3.txt liệt kê tất cả thời gian đăng nhập cho người dùng cụ thể:

Thời gian: 10.12.2012 14:12:32

Thời gian: 7.12.2012 16:20:46

Thời gian: 5.12.2012 19:22:45

Thời gian: 5.12.2012 18:57:55

Giải pháp đơn giản hơn có thể tồn tại nhưng tôi không thể tìm thấy nó, vì vậy điều này phải thực hiện thủ thuật cho tôi.

Hãy thử sử dụng tab bộ lọc XML và chỉ định các mục sau:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>