[DJ Mogarych]

Powershell, результат пишется в CSV-файл на рабочий стол.

Код:

$logs =  Get-EventLog -ComputerName dc1,dc2,dc3 -LogName Security -InstanceId 4740,4741

$logs |select `
@{n='Time';e={$_.timegenerated}},
@{n='DC';e={$_.machinename}},
@{n='User';e={($_.message -split "`n" -match 'Имя учетной записи:(?!.+\$)').trim().split()[-1]}},
@{n='From';e={($_.message -split "`n" -match 'Имя вызывающего компьютера:').trim().split()[-1]}} |
export-csv "$env:USERPROFILE/Desktop/$((get-date).tostring("yyyy-MM-dd"))_DC_lockout_report.csv" -Encoding utf8 -NoTypeInformation -Delimiter ';'

Пример вывода:

Код:

Time               DC                    User    From  
----               --                    ----    ----  
01.12.2022 8:54:24 dc2.example.com Гость   PC0978
01.12.2022 4:01:58 dc2.example.com petrov SRV-MAIL3
01.12.2022 2:39:59 dc2.example.com sidorov SRV-MAIL1

Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC.

Справка по Get-EventLog

[aragonds]

Цитата DJ Mogarych:

Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC. »

Спасибо! А тут за какой период будет выгружаться? можно сделать условие чтобы можно самому выбирать за какой день или период надо и отдельно если надо выяснить по конкретной уз записи были события ?)))

[DJ Mogarych]

Там ссылочка на справку есть

По юзеру - проще всего открыть CSV в Excel и настроить фильтр.