1

В настоящее время я пытаюсь выяснить, как просмотреть историю входа пользователей на определенную машину. Эта команда предназначена для локального запуска, чтобы увидеть, сколько времени тратит консультант на сервер.

В настоящее время у меня есть только знания об этой команде, которая извлекает полный EventLog, но мне нужно отфильтровать его, чтобы он мог отображать пользователя или конкретного пользователя.

Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays (-5) -ComputerName $ env: имя_компьютера

1 ответ1

2

Продолжая обсуждение в комментариях, вы можете искать в журнале событий с помощью Powershell.

Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
  • Get-EventLog позволяет получить доступ к журналу событий, в частности к журналам безопасности
  • Первый Where-Object указывает, что вы хотите, чтобы любые записи были новее, чем указанная дата
  • Второй Where-Object указывает два идентификатора события, которые вас интересуют.
  • Select-Object позволяет нам возвращать только те колонки, которые нас интересуют, имея в выводе

Скорее всего, вам понадобится запустить его из экземпляра Powershell с повышенными правами, поскольку он обращается к реестру Windows.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .