Я пытаюсь отфильтровать из журнала событий безопасности те журналы, которые соответствуют входу пользователя (меня) путем ввода пароля на клавиатуре. Мне бы хотелось, чтобы он обнаруживал разблокировку экрана, а также вход в систему после включения ПК.

Я считаю, что идентификатор события, ответственный за это, составляет 4624.

Моя проблема в том, что каждый раз при входе в систему создается множество идентификаторов событий.

Чтобы отфильтровать это, я проверяю XML всех 4624 идентификаторов событий для:

  1. Если "LogonType" == 2 , тип номер два назначается для интерактивной клавиатуры / входа в экран.

  2. Если "TargetUsername" == Myusername , это удаляет все события входа в систему, инициированные другими службами.

  3. Если "LogonGuid" != "00000000-0000-0000-0000-000000000000" , это удаляет избыточные копии события входа в систему, которые также имеют мое имя как "TargetUsername" и происходят в течение нескольких миллисекунд после входа в систему с ненулевым GUID .

Я не уверен, является ли это правильным подходом, поскольку при его использовании кажется, что пропускается событие входа в систему после загрузки. Ни одно из событий за то время, когда я вошел в первый раз после выключения, не удовлетворяет всем трем условиям.

Сегодня около 9:30 было 4624 события, но ни одно из них не соответствовало моим критериям. Ниже приведен мой вход / выход извлечения, есть два последовательных события выхода из системы без входа между ними. Я вошел в систему около 9:30.

Log in:   12-10T13:45:09.92629
Log out:  12-10T13:06:44.29530
Log in:   12-10T09:59:15.51808
Log out:  12-10T09:48:59.63086 <--
Log out:  12-07T17:36:59.08875 <--
Log in:   12-07T15:12:21.93870
Log out:  12-07T15:10:52.82871
Log in:   12-07T14:05:37.53658
Log out:  12-07T13:57:03.61220
Log in:   12-07T13:35:47.04114
Log out:  12-07T13:35:33.83213
Log in:   12-07T13:19:58.33986
Log out:  12-07T13:19:49.87156
Log in:   12-07T12:54:40.80056
Log out:  12-07T12:15:52.70091
Log in:   12-07T09:50:54.37527
Log out:  12-07T09:33:20.24622
Log in:   12-07T09:32:22.36908
Log out:  12-06T17:10:28.06655
Log in:   12-06T16:37:02.14689
Log out:  12-06T16:26:36.92315
Log in:   12-06T12:58:48.43339
Log out:  12-06T12:04:33.35497

Есть событие с LogonType со значением 2 , но это TargetUserName - UMFD-0 , в то же время есть другое событие с правильным именем пользователя (mne) в качестве TargetUserName но LogonType - 11 .

Я перезапустил и попытался найти его снова, и на этот раз произошло событие, которое удовлетворило эти три фильтра. Я не уверен, если это было одно или, скорее всего, мое понимание далеко.

Как мне структурировать мой скрипт, чтобы найти время, когда я входил в систему с клавиатуры, используя идентификаторы событий Windows?

Спасибо!

|источник

1 ответ1

0

Кажется, мой подход к фильтрации является лишь частично правильным, так как не каждый логин с клавиатуры проявляется в средстве просмотра событий как событие 4624 типа 2. Ниже приведена таблица типов входа в систему вместе с их описанием, полученная из ultimatewindowssecurity. 

Logon                       Description
Type     
-----------------------------------------------------------------------------------------------------
2    Interactive (logon at keyboard and screen of system)
3    Network (i.e. connection to shared folder on this computer from elsewhere on network)
4    Batch (i.e. scheduled task)
5    Service (Service startup)
7    Unlock (i.e. unnattended workstation with password protected screen saver)
8    NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates 
     a logon to IIS with "basic authentication") 
9    NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  
     This logon type does not seem to show up in any events.  If you want to track users attempting 
     to logon with alternate credentials see 4648.  MS says "A caller cloned its  current token and 
     specified new credentials for outbound connections. The new logon session has  the same local 
     identity, but uses different credentials for other network connections."
10   RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11   CachedInteractive (logon with cached domain credentials such as 
     when logging on to a laptop when away from the network)

Точное определение интерактивного входа в систему все еще немного нечетко для меня, поскольку я нахожу противоречивые определения, но типы 10 и 11 имеют Interactive в их описании. Тип 11 появляется при входе на мою рабочую станцию, когда она не подключена к сети.

Добавление этого события и типа к фильтру позволило мне найти все события входа в систему.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .