15

Я обязан записывать мое время начала и окончания на работе. Изредка я забываю это делать, и у меня появилась блестящая идея, что проверка журнала событий безопасности позволит мне ретроспективно определить мое время.

К сожалению, журналы намного больше, чем я думал, и даже отображаются в Event Viewer. Кроме того, я попытался отфильтровать журналы по дате и идентификатору пользователя, но пока это не дало никаких результатов.

Предполагая, что моя идея осуществима, может ли кто-нибудь шаг за шагом сделать то, что мне нужно сделать, чтобы получить нужную мне информацию?

ОБНОВИТЬ:

Я следовал инструкциям @surfasb и дошел до точки, где я могу видеть только логины, однако некоторые из них являются логинами системного уровня (то есть не человеческими). Я хотел бы видеть только мои «физические» логины (в будние дни будет только два или три таких события), а не все остальные вещи.

Я попытался поместить свое имя пользователя Windows в поле, как показано ниже, используя domain\username и просто username но это просто отфильтровывает все. Вы можете помочь?

|источник

4 ответа4

10

Конфигурация по умолчанию делает его довольно грязным. Это потому, что Windows также отслеживает каждый раз, когда вам нужно войти в сеть компьютеров. Он также отслеживает каждый раз, когда ваша учетная запись компьютера, а не учетная запись пользователя, создает сеанс входа в систему.

Следует использовать параметр входа в учетную запись аудита, а не параметр входа в систему аудита .

Для событий, которые вы ищете, будет указано полное доменное имя вашей учетной записи. Например, если вы не находитесь в домене, искомый текст для поиска - имя_компьютера / имя_счета.

редактировать

Другая идея заключается в создании сценариев входа и выхода. В зависимости от версии Windows 7 вы можете использовать gpedit.msc для запуска консоли групповой политики.

Тогда вам просто потребуется пакетный файл с командой logevent "My login/logoff event" -e 666 . Это событие будет отображаться в журнале приложений

редактировать

Это будет проще, если вы не находитесь в домене. Если вы выберете Локальная безопасность / Локальные политики / Параметры безопасности, найдите параметр «Принудительный аудит ...». Я забыл название этого. Но отключи это. Это сделает журналы безопасности менее многословными, поскольку пользователь, входящий в систему с консоли, в некоторых случаях использует один и тот же идентификатор события. Некоторые идентификаторы событий, которые вы хотите найти:

  • Событие 4647 - это когда вы нажимаете кнопку выхода, перезагрузки, выключения. Обновление Windows при перезагрузке компьютера также иногда вызывает это событие :(
  • Событие 4648 - это когда процесс (который включает экран входа в систему) использует ваши явные учетные данные, а не, скажем, токен, для входа в систему. Это включает в себя команду Runas и много раз, программы резервного копирования.
  • Событие 4800 - Когда ваша рабочая станция заблокирована, например, нажмите WIN + L
  • Событие 4801 - Когда ваша рабочая станция разблокирована

Как правило, вы можете получить с помощью событий 4647 и 4648. К сожалению, не существует надежного метода запуска, поскольку при входе в систему и выходе из нее происходят тысячи вещей.

Для этого стоит, на работе, мы ищем сценарий входа в систему и при выходе из системы, есть две программы, а также событие синхронизации, которое мы ищем как уверенные события запуска.

|источник
1

Простое решение:

  1. Откройте событие или события, для которых вы хотите создать пользовательский вид.
  2. Переместите окно куда-нибудь, что будет видно (одна сторона экрана, второй монитор, или распечатайте его)
  3. Создайте новое представление и определите, используя параметры открытого события (например, «Пользователь», «Ключевые слова», «Компьютер» и т.д.) В этом случае пользователь был N/A, поэтому я просто использовал компьютер и идентификатор события (4648, а не 4624)
  4. После изменения параметров при необходимости сохраните.

Этот метод полезен для любого события или набора событий, которые вы хотите зарегистрировать. Не требует сложных задач или стороннего программного обеспечения.

|источник
0

Попробуйте использовать вкладку фильтра XML и укажите следующее:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
|источник
0

У меня была та же проблема, и мне удалось решить ее с помощью следующих шагов:

A: Установите MyEventViewer (бесплатно) и откройте список событий в этой программе.

К сожалению, я не нашел, как отфильтровать события по описанию (а описание - где хранится имя для входа) в MyEventViewer, но, по крайней мере, оно отображает описание в основной таблице.

B: экспортировать эту таблицу в log1.txt

C: Используйте некоторую программу расширенного текстового поиска, чтобы извлечь время входа для данного пользователя.

Я использовал grep.

Это формат экспортируемых событий:

Тип журнала: Безопасность

Тип события: Аудит Успех

Время: 10.12.2012 18:33:24

Код события: 680

Имя пользователя: SYSTEM

Компьютер: YYY

Описание события: Попытка входа в систему: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: XXX Исходная рабочая станция: YYY Код ошибки: 0x0

==================================================

==================================================

Сначала извлеките все попытки входа в систему пользователем XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Это отфильтрует попытки входа в систему пользователем XXX и распечатает его в log2.txt. -B Требуется опция 4 grep, потому что информация, которую мы ищем (время входа в систему), хранится на 4 строки выше строки, содержащей искомый шаблон (имя пользователя).

D: Извлечь время входа из log2.txt

$ grep "Time" log2.txt > log3.txt

Теперь log3.txt перечисляет все времена входа для данного пользователя:

Время: 10.12.2012 14:12:32

Время: 7.12.2012 16:20:46

Время: 5.12.2012 19:22:45

Время: 5.12.2012 18:57:55

Возможно, существует более простое решение, но я не смог его найти, поэтому мне пришлось с этим справиться.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .