Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » Разное - [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ

Ответить
Настройки темы
Разное - [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ

Новый участник


Сообщения: 34
Благодарности: 1

Профиль | Отправить PM | Цитировать


Есть компьютер с ОС windowds 7, на данном пк несколько учетный записей, необходимо просмотреть когда был выполнен вход\выход одной УЗ. Зашел в Журнал событий на вкладку безопасность, нашел событие входа и выхода в систему, но там указывает не только УЗ пользователей но и куча системных. В общем куча информации и отследить конкретного пользователя очень сложно. Подскажите как можно отсортировать данный список чтобы отображалась только одна учетка? В настройках фильтра я этого не нашел. Или может я не там смотрю. Помогите пожалуйста.
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:27, 23-03-2015

 

Забанен


Сообщения: 25
Благодарности: 9

Профиль | Цитировать


v.arnautov,
528 или 4624 — Успешный вход в систему

Отправлено: 19:32, 23-03-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 34
Благодарности: 1

Профиль | Отправить PM | Цитировать


Hetman,
мне это известно, 4634 выход из системы. Если искать по этим кодам, то выдает все УЗ которые выполняли вход и выход, а меня интересует как можно отсортировать этот список для одной УЗ

Отправлено: 10:12, 24-03-2015 | #3


(*.*)


Сообщения: 36527
Благодарности: 6686

Профиль | Сайт | Отправить PM | Цитировать


v.arnautov, скриптом PowerShell, например. Переношу в скрипты.

-------
Канал Windows 11, etc | Чат @winsiders


Отправлено: 12:20, 24-03-2015 | #4


Новый участник


Сообщения: 34
Благодарности: 1

Профиль | Отправить PM | Цитировать


Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста.

Отправлено: 13:00, 24-03-2015 | #5


Ветеран


Сообщения: 27449
Благодарности: 8087

Профиль | Отправить PM | Цитировать


Цитата v.arnautov:
Vadikan, с помощью какого скрипта? объясните подробнее, пожалуйста. »
Который Вы напишете. Например (корректность приведённых выше ID событий не проверял; текст Message соответствует Windows Server 2008 R2, для Вашей Windows 7 — проверяйте сами):
Код: Выделить весь код
Get-EventLog `
    -ComputerName ServerName `
    -LogName Security `
    -InstanceID 528, 4624 `
    -Message "*Account Name:*ВасяПупкин*Account Domain:*MyDomain*" | Format-List -Property TimeGenerated

Отправлено: 15:13, 24-03-2015 | #6


Ветеран


Сообщения: 27449
Благодарности: 8087

Профиль | Отправить PM | Цитировать


Цитата Foreigner:
InstanceId это не EventId: »
Взял Ваш скрипт.
Скрытый текст
Код: Выделить весь код
   Index Time          EntryType   Source                 InstanceID Message                                                    
   ----- ----          ---------   ------                 ---------- -------                                                    
...09852 мар 24 15:01  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...05672 мар 24 14:59  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...05671 мар 24 14:59  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...05638 мар 24 14:59  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...05637 мар 24 14:59  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...05073 мар 24 14:57  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...03490 мар 24 14:44  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...03046 мар 24 14:31  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...99157 мар 24 14:15  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...99154 мар 24 14:15  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....                  
...99144 мар 24 14:15  SuccessA... Microsoft-Windows...         4624 An account was successfully logged on....

Отправлено: 15:53, 24-03-2015 | #7


Ветеран


Сообщения: 1756
Благодарности: 965

Профиль | Цитировать


Iska, Sorry, перепутал с Index

Отправлено: 16:04, 24-03-2015 | #8


Ветеран


Сообщения: 1259
Благодарности: 861

Профиль | Отправить PM | Цитировать


Код: Выделить весь код
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4624} -MaxEvents 10
InstanceId(приходится 4 возможных значения на одно событие):

$instanceIDs = ($eventID), ($eventID -bor 0x40000000L), ($eventID -bor 0x80000000L), ($eventID -bor 0xc0000000L)


Gets only events with the specified instance IDs.

Про данное свойство, читаем в справке - http://msdn.microsoft.com/en-us/libr...nstanceid.aspx

Two event log entries from the same source can have matching EventID values, but have different InstanceId values due to differences in the top two bits of the resource identifier.

В структуре EVENTLOGRECORD определенно только EventID - http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx



Код: Выделить весь код
PS > (get-eventlog -log 'system' -newest 200).Where{$_.instanceid -ne $_.eventid} |ft eventid,instanc
eid -a

EventID InstanceId
------- ----------
   7045 1073748869
   4230 2147487878
  24579 1073831939
  24577 1073831937
  24576 1073831936
   6013 2147489661
   6013 2147489661
   4230 2147487878
   6013 2147489661
   6013 2147489661
   6013 2147489661
   6013 2147489661
   6013 2147489661
   6013 2147489661
7026 3221232498
Это сообщение посчитали полезным следующие участники:

Отправлено: 16:20, 24-03-2015 | #9


Ветеран


Сообщения: 1756
Благодарности: 965

Профиль | Цитировать


Kazun, А как лучше найти события нужного пользователя? UserId остается пустым. Если не парсить message:
Код: Выделить весь код
Get-WinEvent -FilterHashtable @{ LogName="Security"; ID=4624 } -MaxEvents 1000 |
where { $_.message -match "$($env:username)" }

Последний раз редактировалось Foreigner, 24-03-2015 в 16:50.


Отправлено: 16:38, 24-03-2015 | #10



Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » Разное - [решено] Как с помощью журнала событий windows определить вход / выход в систему разных УЗ

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интерфейс - Значки журнала событий Windows INF1NUM Microsoft Windows 7 6 01-04-2014 07:21
Загрузка - [решено] решение проблем с помощью журнала событий viktorzak Microsoft Windows Vista 3 05-05-2012 23:20
2008 - Как в 2008 с помощью wevtutil получить записи из журнала событий по условию ? SergeyPP Windows Server 2008/2008 R2 0 24-07-2008 17:03
Загрузка - Вход в систему и тут же выход 1111vlad1111 Microsoft Windows 2000/XP 1 12-01-2008 12:27
[решено] Аудит входа в систему и импорт событий из журнала безопасности Hardman Microsoft Windows NT/2000/2003 8 09-08-2005 01:59




 
Переход