การกรองบันทึกความปลอดภัยตามประเภทผู้ใช้และการเข้าสู่ระบบ
ฉันถูกขอให้ตรวจสอบเมื่อผู้ใช้เข้าสู่ระบบในสัปดาห์ที่แล้ว ตอนนี้บันทึกการตรวจสอบใน Windows ควรมีข้อมูลทั้งหมดที่ฉันต้องการ ฉันคิดว่าถ้าฉันค้นหารหัสเหตุการณ์ 4624 (ความสำเร็จของการเข้าสู่ระบบ) ด้วยผู้ใช้โฆษณาที่เฉพาะเจาะจงและการเข้าสู่ระบบประเภท 2 (การเข้าสู่ระบบแบบโต้ตอบ) ว่าควรให้ข้อมูลที่ฉันต้องการ แต่สำหรับชีวิตของฉัน บันทึกเหตุการณ์เพื่อรับข้อมูลนี้ เป็นไปได้ภายในของ Event Viewer หรือคุณต้องการใช้เครื่องมือภายนอกเพื่อแยกมันในระดับนี้? ฉันพบhttp://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.htmlซึ่งดูเหมือนจะเป็นส่วนหนึ่งของสิ่งที่ฉันต้องการ ฉันแก้ไขมันเล็กน้อยเพื่อให้มูลค่า 7 วันล่าสุดเท่านั้น ด้านล่างเป็น XML ที่ฉันลอง <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> มันให้แค่ 7 วันล่าสุด แต่ส่วนที่เหลือไม่ได้ทำงาน ใครช่วยฉันด้วยสิ่งนี้ได้บ้าง แก้ไข ขอบคุณคำแนะนำของลัคกี้ลุคฉันก้าวหน้าไปมาก ด้านล่างคือแบบสอบถามปัจจุบันของฉันแม้ว่าฉันจะอธิบายว่าไม่ได้แสดงผลลัพธ์ใด ๆ …