Powershell, результат пишется в CSV-файл на рабочий стол.
Код:
$logs = Get-EventLog -ComputerName dc1,dc2,dc3 -LogName Security -InstanceId 4740,4741
$logs |select `
@{n='Time';e={$_.timegenerated}},
@{n='DC';e={$_.machinename}},
@{n='User';e={($_.message -split "`n" -match 'Имя учетной записи:(?!.+\$)').trim().split()[-1]}},
@{n='From';e={($_.message -split "`n" -match 'Имя вызывающего компьютера:').trim().split()[-1]}} |
export-csv "$env:USERPROFILE/Desktop/$((get-date).tostring("yyyy-MM-dd"))_DC_lockout_report.csv" -Encoding utf8 -NoTypeInformation -Delimiter ';'
Пример вывода:
Код:
Time DC User From
---- -- ---- ----
01.12.2022 8:54:24 dc2.example.com Гость PC0978
01.12.2022 4:01:58 dc2.example.com petrov SRV-MAIL3
01.12.2022 2:39:59 dc2.example.com sidorov SRV-MAIL1
Узел, с которого был заблокирован юзер, далеко не всегда пишется в логи DC.
Справка по Get-EventLog