Cần xuất một bảng có tên người dùng (samAcountNames) cùng với ngày đăng nhập cuối cùng của họ \ time trên máy chủ cụ thể trên mạng (ai là thành viên của một tên miền).
Theo tìm kiếm của google, tôi chỉ có thể thực hiện như ngày đăng nhập cuối cùng \ time từ bộ điều khiển miền hoặc từ máy chủ cụ thể nhưng không có tên người dùng hoặc chỉ ngày đăng nhập của người dùng cuối \ time.
Trên thực tế, tôi đã tìm thấy tập lệnh sử dụng nhật ký sự kiện Bảo mật và phải được khởi chạy trên máy chủ mục tiêu, nhưng tôi không thể khởi động các bản sao do anh ấy tạo ra:
UserName : admin_le
LoginTime : 17.02.2015 15:36:04
UserName : admin_le
LoginTime : 17.02.2015 15:36:04
UserName : admin_le
LoginTime : 17.02.2015 15:36:04
UserName : admin_le
LoginTime : 17.02.2015 15:36:00
UserName : admin_le
LoginTime : 17.02.2015 15:36:00
UserName : admin_le
LoginTime : 17.02.2015 15:36:00
UserName : admin_le
LoginTime : 17.02.2015 15:36:00
Bản thân kịch bản:
$Date = [DateTime]::Now.AddDays(-14)
$Date.tostring("MM-dd-yyyy"), $env:Computername
$eventList = @()
Get-EventLog "Security" -After $Date `
| Where -FilterScript {$_.EventID -eq 4624 -and $_.ReplacementStrings[4].Length -gt 10 -and $_.ReplacementStrings[5] -notlike "*$"} `
| foreach-Object {
$row = "" | Select UserName, LoginTime
$row.UserName = $_.ReplacementStrings[5]
$row.LoginTime = $_.TimeGenerated
$eventList += $row
}
$eventList > c:\export.log
Cảm ơn.