ฉันจะใช้ตัวแสดงเหตุการณ์เพื่อยืนยันเวลาเข้าสู่ระบบที่กรองโดยผู้ใช้ได้อย่างไร


16

ฉันต้องบันทึกเวลาเริ่มและสิ้นสุดเวลาทำงาน บางครั้งฉันลืมที่จะทำเช่นนี้และมีความคิดที่สดใสว่าการตรวจสอบบันทึกเหตุการณ์ความปลอดภัยจะทำให้ฉันสามารถตรวจสอบเวลาของฉันได้

น่าเสียดายที่บันทึกมีขนาดใหญ่กว่าที่ฉันคิดและใช้เวลาสักครู่ในการแสดงใน Event Viewer นอกจากนี้ฉันพยายามกรองบันทึกตามวันที่และหมายเลขผู้ใช้ แต่จนถึงตอนนี้มันไม่ได้ผลลัพธ์

สมมติว่าความคิดของฉันเป็นไปได้ทุกคนสามารถผ่านสิ่งที่ฉันต้องทำเพื่อดึงข้อมูลที่ฉันต้องการได้หรือไม่?

UPDATE:

ฉันได้ปฏิบัติตามคำแนะนำของ @surfasb และได้รับถึงจุดที่ฉันสามารถดูได้เฉพาะการเข้าสู่ระบบ แต่สิ่งเหล่านี้บางอย่างเป็นการเข้าสู่ระบบระดับระบบ (เช่นที่ไม่ใช่มนุษย์) ฉันต้องการดูเฉพาะการเข้าสู่ระบบ 'ทางกายภาพ' ของฉัน (จะมีเหตุการณ์ดังกล่าวสองหรือสามรายการในวันธรรมดาเท่านั้น) ไม่ใช่สิ่งอื่น ๆ ทั้งหมด

ฉันได้ลองใส่ชื่อผู้ใช้ Windows ของฉันในฟิลด์ตามที่แสดงด้านล่างโดยใช้ทั้งคู่domain\usernameและเพียงusernameแต่นี่เป็นการกรองทุกอย่าง คุณช่วยได้ไหม

ป้อนคำอธิบายรูปภาพที่นี่

คำตอบ:


10

การกำหนดค่าเริ่มต้นทำให้ค่อนข้างยุ่ง นี่เป็นเพราะ Windows ยังติดตามทุกเวลาที่คุณต้องลงชื่อเข้าใช้คอมพิวเตอร์เครือข่าย นอกจากนี้ยังติดตามทุกครั้งที่บัญชีคอมพิวเตอร์ของคุณไม่ใช่บัญชีผู้ใช้ที่สร้างเซสชันการเข้าสู่ระบบ

คุณควรใช้ตัวเลือกการเข้าสู่ระบบบัญชีการตรวจสอบและไม่ใช่ตัวเลือกการเข้าสู่ระบบการตรวจสอบ

เหตุการณ์ที่คุณต้องการจะมีชื่อโดเมนที่ผ่านการรับรอง ตัวอย่างเช่นหากคุณไม่ได้อยู่ในโดเมนข้อความค้นหาที่คุณต้องการคือ computer_name / account_name

แก้ไข

แนวคิดอื่นคือการสร้างสคริปต์เข้าสู่ระบบและออกจากระบบ คุณสามารถใช้gpedit.mscเพื่อแสดงคอนโซลนโยบายกลุ่มขึ้นอยู่กับรุ่นของ Windows 7 ของคุณ

แล้วคุณก็จะต้อง batchfile logevent "My login/logoff event" -e 666ที่มีคำสั่ง กิจกรรมนี้จะปรากฏในบันทึกของแอปพลิเคชัน

แก้ไข

สิ่งนี้จะง่ายขึ้นหากคุณไม่ได้อยู่ในโดเมน หากคุณไปที่ตัวเลือก Local Security / Local Policies / Security ให้มองหาตัวเลือก "Force Audit ... " ฉันลืมชื่อของมัน แต่ปิดการใช้งาน ที่จะทำให้บันทึกการรักษาความปลอดภัยอย่างละเอียดน้อยลงเนื่องจากผู้ใช้เข้าสู่ระบบที่คอนโซลในบางกรณีแบ่งปันรหัสเหตุการณ์เดียวกัน รหัสเหตุการณ์บางอย่างที่คุณต้องการค้นหา:

  • เหตุการณ์ 4647 - นี่คือเมื่อคุณกดปุ่มออกจากระบบให้รีสตาร์ทปุ่มปิดเครื่อง Windows Update รีสตาร์ทเครื่องคอมพิวเตอร์ของคุณในบางครั้งก็ปิดเหตุการณ์นี้ :(
  • เหตุการณ์ 4648 - นี่คือเมื่อกระบวนการ (ซึ่งรวมถึงหน้าจอเข้าสู่ระบบ) ใช้ข้อมูลประจำตัวที่ชัดเจนของคุณแทนที่จะพูดโทเค็นเพื่อเข้าสู่ระบบ ซึ่งรวมถึงคำสั่ง Runas และโปรแกรมสำรองข้อมูลหลายครั้ง
  • เหตุการณ์ 4800 - เมื่อเวิร์กสเตชันของคุณถูกล็อคเช่นกด WIN + L
  • เหตุการณ์ 4801 - เมื่อเวิร์กสเตชันของคุณถูกปลดล็อก

โดยทั่วไปคุณสามารถรับโดยใช้เหตุการณ์ 4647 และ 4648 แต่น่าเสียดายที่ไม่มีวิธีการดับเพลิงที่แน่นอนเนื่องจากมีหลายพันสิ่งที่เกิดขึ้นเมื่อคุณเข้าสู่ระบบและออกจากระบบคอมพิวเตอร์ของคุณ

เพื่อที่จะคุ้มค่าในที่ทำงานเรามองหาสคริปต์การเข้าสู่ระบบที่จะดำเนินการและที่ออกจากระบบมีสองโปรแกรมเช่นเดียวกับเหตุการณ์การซิงค์ที่เรามองหาเหตุการณ์ไฟแน่นอน


ขอบคุณสำหรับคำตอบของคุณ คุณช่วยอธิบายเพิ่มเติมอีกหน่อยได้ไหม? ฉันยังใหม่กับโลกที่มืดมนของการดูแลระบบ Win7 :-(
5arx

ฉันไม่รู้ว่าควรเริ่มจากตรงไหน "เปิดคอมพิวเตอร์ของคุณ"?
surfasb

เสียงกระแอม คุณสามารถสันนิษฐานได้ว่าฉันได้จัดการให้ปลอดภัยเท่าที่กรองรายการบันทึกเหตุการณ์ ...
5arx

ไปที่ตัวเลือก Local Security แล้วเปิด Log Audit Account Ack ฉันจะแก้ไขโพสต์ของฉันในอีกชั่วโมงที่นี่ . .
surfasb

ฉันเพิ่มกิจกรรมที่เป็นประโยชน์ในการแก้ไข ฉันหวังว่าจะช่วย
surfasb

1

วิธีแก้ปัญหาง่าย ๆ :

  1. เปิดเหตุการณ์หรือกิจกรรมที่คุณต้องการสร้างมุมมองที่กำหนดเอง
  2. ย้ายหน้าต่างไปไว้ที่ใดก็ได้ที่จะมองเห็นได้ (ด้านใดด้านหนึ่งของหน้าจอมอนิเตอร์ที่สองหรือพิมพ์)
  3. สร้างมุมมองใหม่และกำหนดโดยใช้พารามิเตอร์เหตุการณ์ที่เปิดอยู่ (เช่น: ผู้ใช้คำหลักคอมพิวเตอร์ ฯลฯ .... ) ในกรณีนี้ผู้ใช้คือ N / A ดังนั้นฉันเพิ่งใช้คอมพิวเตอร์และรหัสเหตุการณ์ (4648 ไม่ใช่ 4624)
  4. หลังจากแก้ไขพารามิเตอร์ตามต้องการให้บันทึก

วิธีนี้มีประโยชน์สำหรับกิจกรรมหรือชุดกิจกรรมที่คุณต้องการเข้าสู่ระบบ ไม่ต้องใช้งานที่ซับซ้อนหรือซอฟต์แวร์ของบุคคลที่สาม


0

ฉันมีปัญหาเดียวกันและจัดการแก้ไขโดยใช้ขั้นตอนเหล่านี้:

ตอบ:ติดตั้งMyEventViewer (ฟรีแวร์) และเปิดรายการเหตุการณ์ในโปรแกรมนี้

น่าเสียดายที่ฉันไม่พบวิธีกรองเหตุการณ์ตามคำอธิบาย (และคำอธิบายคือที่จัดเก็บชื่อเข้าสู่ระบบ) ใน MyEventViewer แต่อย่างน้อยก็แสดงคำอธิบายในตารางหลัก

B:ส่งออกตารางนี้ไปที่ log1.txt

C:ใช้โปรแกรมค้นหาข้อความขั้นสูงเพื่อดึงเวลาเข้าสู่ระบบสำหรับผู้ใช้ที่ระบุ

ฉันใช้ grep

นี่คือรูปแบบของเหตุการณ์ที่ส่งออก:

ประเภทบันทึก: ความปลอดภัย

ประเภทกิจกรรม: ตรวจสอบความสำเร็จ

เวลา: 10.12.2012 18:33:24

รหัสเหตุการณ์: 680

ชื่อผู้ใช้: ระบบ

คอมพิวเตอร์: YYY

คำอธิบายเหตุการณ์: ความพยายามในการเข้าสู่ระบบโดย: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 บัญชีเข้าสู่ระบบ: XXX เวิร์กสเตชันต้นทาง: YYY รหัสข้อผิดพลาด: 0x0

==================================================

==================================================

ก่อนอื่นให้แยกการเข้าสู่ระบบทั้งหมดโดยผู้ใช้ XXX

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

การดำเนินการนี้จะกรองการเข้าสู่ระบบโดยผู้ใช้ XXX และพิมพ์ไปที่ log2.txt ต้องการตัวเลือก grep -B 4 เนื่องจากข้อมูลที่เรากำลังค้นหา (เวลาเข้าสู่ระบบ) ถูกเก็บไว้ 4 บรรทัดเหนือบรรทัดที่มีรูปแบบที่เรากำลังค้นหา (ชื่อผู้ใช้)

D:แยกเวลาเข้าสู่ระบบจาก log2.txt

$ grep "Time" log2.txt > log3.txt

ตอนนี้ log3.txt แสดงเวลาเข้าสู่ระบบทั้งหมดสำหรับผู้ใช้ที่กำหนด:

เวลา: 10.12.2012 14:12:32

เวลา: 7.12.2012 16:20:46 น

เวลา: 5.12.2012 19:22:45 น

เวลา: 5.12.2012 18:57:55

อาจจะมีวิธีแก้ปัญหาที่ง่ายกว่านี้ แต่ฉันไม่สามารถหามันได้ดังนั้นนี่จึงเป็นการหลอกลวงสำหรับฉัน


0

ลองใช้แท็บตัวกรองXMLและระบุสิ่งต่อไปนี้:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.