Как я могу использовать Event Viewer для подтверждения времени входа, отфильтрованного пользователем?

16

Я обязан записывать мое время начала и окончания на работе. Иногда я забываю это делать, и у меня была блестящая идея, что проверка журнала событий безопасности позволит мне ретроспективно определить мое время.

К сожалению, журналы намного больше, чем я думал, и даже отображаются в Event Viewer. Кроме того, я попытался отфильтровать журналы по дате и идентификатору пользователя, но пока это не дало никаких результатов.

Если предположить, что моя идея осуществима, может ли кто-нибудь шаг за шагом понять, что мне нужно сделать, чтобы получить нужную мне информацию?

ОБНОВИТЬ:

Я следовал инструкциям @surfasb и дошел до точки, где я могу видеть только логины, однако некоторые из них - логины системного уровня (то есть, не принадлежащие человеку). Я хотел бы видеть только мои «физические» логины (в будние дни будет только два или три таких события), а не все остальные вещи.

Я попытался поместить свое имя пользователя Windows в поле, как показано ниже, используя оба, domain\usernameи просто, usernameно это просто отфильтровывает все. Вы можете помочь?

введите описание изображения здесь

5arx
источник

Ответы:

10

Конфигурация по умолчанию делает его довольно грязным. Это потому, что Windows также отслеживает каждый раз, когда вам нужно войти в сеть компьютеров. Он также отслеживает каждый раз, когда ваша учетная запись компьютера, а не учетная запись пользователя, создает сеанс входа в систему.

Вы должны использовать параметр входа в учетную запись аудита, а не параметр входа в систему аудита .

События, которые вы ищете, будут иметь полное доменное имя вашей учетной записи. Например, если вы не находитесь в домене, искомый текст для поиска - имя_компьютера / имя_счета.

редактировать

Другая идея заключается в создании сценариев входа и выхода. В зависимости от вашей версии Windows 7 вы можете использовать gpedit.mscдля запуска консоли групповой политики.

Тогда вам просто понадобится пакетный файл с командой logevent "My login/logoff event" -e 666. Это событие будет отображаться в журнале приложений

редактировать

Это будет проще, если вы не находитесь в домене. Если вы выберете Локальная безопасность / Локальные политики / Параметры безопасности, найдите параметр «Принудительный аудит ...». Я забыл название этого. Но отключи это. Это сделает журналы безопасности менее подробными, поскольку пользователь, входящий в систему с консоли, в некоторых случаях использует один и тот же идентификатор события. Некоторые идентификаторы событий, которые вы хотите найти:

  • Событие 4647 - это когда вы нажимаете кнопку выхода, перезагрузки, выключения. Обновление Windows, перезагружающее компьютер, также иногда вызывает это событие :(
  • Событие 4648 - это когда процесс (который включает экран входа в систему) использует ваши явные учетные данные, а не, скажем, токен, для входа в систему. Это включает в себя команду Runas и много раз, программы резервного копирования.
  • Событие 4800 - Когда ваша рабочая станция заблокирована, например, нажмите WIN + L
  • Событие 4801 - Когда ваша рабочая станция разблокирована

Как правило, вы можете получить, используя события 4647 и 4648. К сожалению, нет точного метода запуска, так как есть тысячи вещей, которые происходят при входе и выходе из компьютера.

Для этого стоит, на работе, мы ищем сценарий входа в систему и при выходе из системы, есть две программы, а также событие синхронизации, которое мы ищем как уверенные события запуска.

surfasb
источник
Спасибо за ваш ответ. Не могли бы вы уточнить немного больше, пожалуйста? Я новичок в темном мире системного администрирования Win7 :-(
5arx
Я понятия не имею, с чего мне начать. "Включить компьютер"?
Surfasb
Гм. Вы можете с уверенностью предположить, что мне удалось добраться до фильтрации журналов просмотра событий ...
5arx
Зайдите в Параметры локальной безопасности и включите Аудит входа в учетную запись. Ack. Я отредактирую свой пост через час здесь. , ,
Surfasb
Я добавил несколько полезных событий в редактирование. Надеюсь, это поможет.
Surfasb
1

Простое решение:

  1. Откройте событие или события, для которых вы хотите создать пользовательский вид.
  2. Переместите окно в такое место, где оно будет видно (одна сторона экрана, второй монитор, или распечатайте его)
  3. Создайте новое представление и определите, используя параметры открытого события (например, «Пользователь», «Ключевые слова», «Компьютер» и т. Д.). В этом случае пользователь был недоступен, поэтому я просто использовал «Компьютер» и идентификатор события (4648, а не 4624).
  4. После изменения параметров при необходимости сохраните.

Этот метод полезен для любого события или набора событий, которые вы хотите зарегистрировать. Не требует сложных задач или стороннего программного обеспечения.

applephx
источник
0

У меня была та же проблема, и мне удалось решить ее с помощью следующих шагов:

A: Установите MyEventViewer (бесплатно) и откройте список событий в этой программе.

К сожалению, я не нашел, как отфильтровать события по описанию (а описание - где хранится имя пользователя) в MyEventViewer, но, по крайней мере, оно отображает описание в основной таблице.

B: экспортировать эту таблицу в log1.txt

C: Используйте некоторую программу расширенного поиска текста, чтобы извлечь время входа для данного пользователя.

Я использовал grep.

Это формат экспортируемых событий:

Тип журнала: Безопасность

Тип события: Аудит Успех

Время: 10.12.2012 18:33:24

Код события: 680

Имя пользователя: SYSTEM

Компьютер: YYY

Описание события: Попытка входа в систему: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: XXX Исходная рабочая станция: YYY Код ошибки: 0x0

==================================================

==================================================

Сначала извлеките все попытки входа в систему пользователем XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Это отфильтрует попытки входа в систему от пользователя XXX и распечатает его в log2.txt. -B Требуется опция 4 grep, потому что информация, которую мы ищем (время входа в систему), хранится на 4 строки выше строки, содержащей искомый шаблон (имя пользователя).

D: Извлечь время входа из log2.txt

$ grep "Time" log2.txt > log3.txt

Теперь log3.txt перечисляет все времена входа для данного пользователя:

Время: 10.12.2012 14:12:32

Время: 7.12.2012 16:20:46

Время: 5.12.2012 19:22:45

Время: 5.12.2012 18:57:55

Возможно, существует более простое решение, но я не смог его найти, поэтому мне пришлось с этим справиться.

celicni
источник
0

Попробуйте использовать вкладку фильтра XML и укажите следующее:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Янис С.
источник