การกรองบันทึกความปลอดภัยตามประเภทผู้ใช้และการเข้าสู่ระบบ

17

ฉันถูกขอให้ตรวจสอบเมื่อผู้ใช้เข้าสู่ระบบในสัปดาห์ที่แล้ว ตอนนี้บันทึกการตรวจสอบใน Windows ควรมีข้อมูลทั้งหมดที่ฉันต้องการ ฉันคิดว่าถ้าฉันค้นหารหัสเหตุการณ์ 4624 (ความสำเร็จของการเข้าสู่ระบบ) ด้วยผู้ใช้โฆษณาที่เฉพาะเจาะจงและการเข้าสู่ระบบประเภท 2 (การเข้าสู่ระบบแบบโต้ตอบ) ว่าควรให้ข้อมูลที่ฉันต้องการ แต่สำหรับชีวิตของฉัน บันทึกเหตุการณ์เพื่อรับข้อมูลนี้ เป็นไปได้ภายในของ Event Viewer หรือคุณต้องการใช้เครื่องมือภายนอกเพื่อแยกมันในระดับนี้?

ฉันพบhttp://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.htmlซึ่งดูเหมือนจะเป็นส่วนหนึ่งของสิ่งที่ฉันต้องการ ฉันแก้ไขมันเล็กน้อยเพื่อให้มูลค่า 7 วันล่าสุดเท่านั้น ด้านล่างเป็น XML ที่ฉันลอง

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

มันให้แค่ 7 วันล่าสุด แต่ส่วนที่เหลือไม่ได้ทำงาน

ใครช่วยฉันด้วยสิ่งนี้ได้บ้าง

แก้ไข

ขอบคุณคำแนะนำของลัคกี้ลุคฉันก้าวหน้าไปมาก ด้านล่างคือแบบสอบถามปัจจุบันของฉันแม้ว่าฉันจะอธิบายว่าไม่ได้แสดงผลลัพธ์ใด ๆ

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

ดังที่ฉันได้กล่าวไปแล้วว่าไม่ได้แสดงผลลัพธ์ใด ๆ เลยดังนั้นฉันจึงยุ่งกับมันเล็กน้อย ฉันสามารถทำให้ผลลัพธ์ถูกต้องจนกว่าฉันจะเพิ่มในบรรทัด LogonType หลังจากนั้นจะไม่ส่งคืนผลลัพธ์ ความคิดใด ๆ ว่าทำไมถึงเป็นเช่นนั้น?

แก้ไข 2

ฉันอัพเดตบรรทัด LogonType เป็นต่อไปนี้:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

สิ่งนี้จะจับภาพบันทึกของเวิร์กสเตชันและปลดล็อคเวิร์กสเตชัน แต่ฉันก็ยังไม่ได้อะไรเลย ฉันจะแก้ไขมันเพื่อค้นหาประเภทการเข้าสู่ระบบอื่น ๆ เช่น 3 หรือ 8 ซึ่งพบมากมาย สิ่งนี้ทำให้ฉันเชื่อว่าแบบสอบถามทำงานอย่างถูกต้อง แต่ด้วยเหตุผลบางอย่างไม่มีรายการในบันทึกเหตุการณ์ที่มีประเภทการเข้าสู่ระบบเท่ากับ 2 และสิ่งนี้ไม่สมเหตุสมผลสำหรับฉัน เป็นไปได้ไหมที่จะปิดสิ่งนี้

windows-server-2008  eventviewer  security  windows-event-log 
Trido
แหล่งที่มา
ดูเหมือนว่าคำค้นหาของคุณจะทำงานหากคุณได้รับผลลัพธ์ด้วยการเข้าสู่ระบบประเภทอื่น ๆ เป็นไปได้ว่าคุณต้องดูประเภทการเข้าสู่ระบบอื่น ๆ โดยเฉพาะอย่างยิ่งการเข้าสู่ระบบประเภท 11 ซึ่งมักจะใช้แทนการเข้าสู่ระบบประเภทที่ 2 ใน Vista และในภายหลัง ท่านสามารถเข้าดูทุกประเภทเข้าสู่ระบบที่นี่: myeventlog.com/search/show/799 ฉันพนันได้ว่าการเข้าสู่ระบบของคุณอยู่ในประเภทที่ 11 แจ้งให้เราทราบ
ลัคกี้ลุค
น่าสนใจผลลัพธ์ที่ไม่ใช่ 3 เดียวที่ฉันได้รับคือ 8 ซึ่งฉันได้ระบุไว้ ด้วยเหตุผลบางอย่างไม่มี 2, 7 หรือ 11 ซึ่งฉันคาดว่าจะเห็น
Trido
คุณยืนยันการตั้งค่าการตรวจสอบของคุณในนโยบายความปลอดภัยท้องถิ่น (หรือนโยบายโดเมนหากเป็นส่วนหนึ่งของโดเมน) เพื่อให้แน่ใจว่ามีการตรวจสอบการเข้าสู่ระบบทั้งหมดหรือไม่ แจ้งให้เราทราบหากคุณต้องการข้อมูลเพิ่มเติม
ลัคกี้ลุค
นี่เป็นปัญหาอย่างแท้จริง ฉันเข้าสู่นโยบายกลุ่มและถูกปิด
Trido
น่าสนใจ การตั้งค่าที่แน่นอนที่คุณเปิดท้ายที่สุดคืออะไร? มีอะไรแปลก ๆ ที่คุณเห็นเหตุการณ์การเข้าสู่ระบบอื่น ๆ แต่ไม่ใช่การเข้าสู่ระบบคอนโซล ฉันอยู่ภายใต้การแสดงผลที่พวกเขาทั้งหมดกำหนดค่าด้วยการตั้งค่าเดียวกัน
ลัคกี้ลุค

คำตอบ:

17

คุณกำลังติดตามถูก - หนึ่งในข้อผิดพลาดในการค้นหาของคุณคือพื้นที่ใน 'ประเภทการเข้าสู่ระบบ' มันควรจะเป็น 'LogonType'

ฉันวางแบบสอบถามด้านล่างที่ฉันเพิ่งตรวจสอบแล้วทำงาน มันง่ายขึ้นเล็กน้อย แต่คุณได้ความคิด มันแสดงให้คุณเห็นเหตุการณ์ทั้งหมด 4624 เหตุการณ์ด้วยการเข้าสู่ระบบประเภท 2 จากผู้ใช้ 'john.doe'

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

คุณสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับการสืบค้น XML ในตัวแสดงเหตุการณ์ได้ที่นี่: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event- viewer.aspx

คุณสามารถสอบถามเหตุการณ์ที่เกิดขึ้นจากบรรทัดคำสั่งที่มี wevtutil.exe: http://technet.microsoft.com/en-us/magazine/dd310329.aspx

ลัคกี้ลุค
แหล่งที่มา
อืมมันแปลกนะ เมื่อฉันวิ่งฉันได้รับผลลัพธ์ 0 คืน แม้ว่าฉันจะลดความซับซ้อนของแบบสอบถามเพียงประเภทการเข้าสู่ระบบ ฉันไม่เข้าใจจริงๆว่าทำไมมันไม่ทำงาน
Trido
ฉันอัพเดตคำถามด้วยคำถามและปัญหาปัจจุบัน
Trido
นี่คือสิ่งที่ฉันต้องการเพื่อค้นหาว่าใครเชื่อมต่อกับหนึ่งในเซิร์ฟเวอร์ของฉันผ่าน RDP ฉันแค่ต้องเปลี่ยน LogonType เป็น '10' (และลบบิตเกี่ยวกับชื่อผู้ใช้)
Charles Burge
1

ฉันพบคำถามนี้และต้องทำงานแยกวิเคราะห์เนื้อหาจากคำตอบที่ได้รับการยอมรับและอัปเดตคำถามเพื่อรับโซลูชันที่ใช้งานได้ ฉันคิดว่าฉันโพสต์ไวยากรณ์การสืบค้นที่สมบูรณ์และใช้งานได้ที่นี่เพื่อการอ้างอิงในอนาคต:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

แบบสอบถามด้านบนควรทำงานเพื่อ จำกัด กิจกรรมตามพารามิเตอร์ต่อไปนี้:

  • เหตุการณ์ในบันทึกความปลอดภัย
  • ด้วยรหัสเหตุการณ์ 6424
  • เกิดขึ้นภายใน 30 วันที่ผ่านมา
  • เกี่ยวข้องกับผู้ใช้ john.doe
  • ด้วย LogonType 10

คุณสามารถเปลี่ยน LogonTypes ในตัวกรองโดยการเปลี่ยน(Data='10')รหัสข้างต้น ตัวอย่างเช่นคุณอาจต้องการที่จะทำหรือ(Data='2')(Data='10' or Data='2')

Iszi
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.