|
|
|
|
| Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » Разное - [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ |
|
|
Разное - [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ
|
|
Новый участник Сообщения: 34 |
Есть компьютер с ОС windowds 7, на данном пк несколько учетный записей, необходимо просмотреть когда был выполнен вход\выход одной УЗ. Зашел в Журнал событий на вкладку безопасность, нашел событие входа и выхода в систему, но там указывает не только УЗ пользователей но и куча системных. В общем куча информации и отследить конкретного пользователя очень сложно. Подскажите как можно отсортировать данный список чтобы отображалась только одна учетка? В настройках фильтра я этого не нашел. Или может я не там смотрю. Помогите пожалуйста.
|
|
|
Отправлено: 19:27, 23-03-2015 |
|
Ветеран Сообщения: 1259
|
Профиль | Отправить PM | Цитировать User - собственно имя пользователя
Код:
 PS > Get-WinEvent -LogName Security -FilterXpath "*[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='User']]" -MaxEvents 1 ProviderName: Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName Message ----------- -- ---------------- ------- 24.03.2015 15:56:59 4624 Сведения Вход с учетной записью выполнен успешно.... |
|
Отправлено: 16:42, 24-03-2015 | #11 |
|
Ветеран Сообщения: 1756
|
Kazun, Спасибо
|
|
Отправлено: 16:52, 24-03-2015 | #12 |
|
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать Можно попробовать исследовать эту тему как в следующих статьях
http://eventlogxp.com/blog/exploring...on-the-system/ http://eventlogxp.com/blog/advanced-...-descriptions/ |
|
Отправлено: 16:43, 01-04-2016 | #13 |
|
Пользователь Сообщения: 119
|
Профиль | Отправить PM | Цитировать Здравствуйте! Похожий вопрос по Windows 10 PRO. Делаю блокировку учётки win+L, потом ввожу пароль и захожу в журнал событий. Logon код 4624 есть, а события блокировки нет. Помогите пожалуйста найти его.
Скриншот: Снимок экрана 2024-11-08 171705.jpg |
|
Отправлено: 17:19, 08-11-2024 | #14 |
Ветеран
Сообщения: 4446
|
Профиль | Отправить PM | Цитировать Цитата Heavycloud:
Eventviewer eventid for lock and unlock |
|
|
Отправлено: 18:55, 08-11-2024 | #15 |
|
Пользователь Сообщения: 119
|
Профиль | Отправить PM | Цитировать Цитата NickM:
  |
|
|
Отправлено: 19:25, 08-11-2024 | #16 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Интерфейс - Значки журнала событий Windows | INF1NUM | Microsoft Windows 7 | 6 | 01-04-2014 07:21 | |
| Загрузка - [решено] решение проблем с помощью журнала событий | viktorzak | Microsoft Windows Vista | 3 | 05-05-2012 23:20 | |
| 2008 - Как в 2008 с помощью wevtutil получить записи из журнала событий по условию ? | SergeyPP | Windows Server 2008/2008 R2 | 0 | 24-07-2008 17:03 | |
| Загрузка - Вход в систему и тут же выход | 1111vlad1111 | Microsoft Windows 2000/XP | 1 | 12-01-2008 12:27 | |
| [решено] Аудит входа в систему и импорт событий из журнала безопасности | Hardman | Microsoft Windows NT/2000/2003 | 8 | 09-08-2005 01:59 | |
|
|
Время: 16:39. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
