Güvenlik Günlüklerini Kullanıcı ve Oturum Açma Türüne Göre Filtreleme

Geçen hafta bir kullanıcının sisteme ne zaman giriş yaptığını öğrenmem istendi. Şimdi Windows'taki denetim günlükleri ihtiyacım olan tüm bilgileri içermelidir. Sanırım ihtiyacım olan bilgiyi vermesi gereken belirli bir AD kullanıcısı ve Oturum Açma Türü 2 (Etkileşimli Oturum Açma) ile Olay Kimliği 4624'ü (Oturum Açma Başarısı) ararsam, ancak hayatım boyunca gerçekten nasıl filtreleneceğini anlayamıyorum bu bilgileri almak için Olay Günlüğü'nü tıklayın. Olay Görüntüleyicisi'nin içinde mümkün mü yoksa bu seviyeye ayrıştırmak için harici bir araç mı kullanmanız gerekiyor?

İhtiyacım olanın bir parçası gibi görünen http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html buldum . Sadece son 7 güne değer vermek için biraz değiştirdim. Aşağıda denediğim XML var.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

Bana sadece son 7 günü verdi, ama geri kalanı işe yaramadı.

Biri bana bu konuda yardımcı olabilir mi?

DÜZENLE

Lucky Luke'un önerileri sayesinde ilerleme kaydediyorum. Aşağıdaki benim geçerli sorgu, ancak açıklayacağım gibi herhangi bir sonuç döndürmüyor.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

Dediğim gibi, ben biraz karışıklık olmuştur herhangi bir sonuç döndürmüyordu. LogonType satırına ekleyin kadar sonuçları doğru üretmek için alabilirsiniz. Bundan sonra sonuç döndürmez. Bunun neden olabileceğine dair bir fikrin var mı?

DÜZENLEME 2

LogonType satırını aşağıdaki şekilde güncelledim:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

Bu, İş İstasyonu Oturum Açma İşlemlerinin yanı sıra İş İstasyonu Kilitlerini de yakalamalıdır, ancak yine de hiçbir şey alamıyorum. Daha sonra 3 veya 8 gibi bolca bulduğu diğer Oturum Açma Türlerini aramak için değiştirdim. Bu, sorgunun doğru çalıştığına inanmamı sağlıyor, ancak bazı nedenlerden dolayı Oturum Açma Türü 2 olan Olay Günlüklerinde 2 giriş yok ve bu benim için anlamlı değil. Bunu kapatmak mümkün mü?

— Trido
kaynak

Diğer oturum açma türleriyle sonuç alıyorsanız, sorgunuz çalışıyor gibi görünüyor. Diğer oturum açma türlerine, özellikle Vista ve sonraki sürümlerde oturum açma türü 2 yerine sık kullanılan oturum açma türü 11'e bakmanız gerekebilir. Tüm oturum açma türlerini burada görebilirsiniz: myeventlog.com/search/show/799 . Eminim oturum açmalarınız 11 tipindedir.

— Şanslı Luke

İlginç bir şekilde, elde ettiğim tek 3 sonuç, tespit ettiğim 8'dir. Herhangi bir nedenle 2, 7 veya 11 görmeyi beklediğim yoktur.

— Trido

Tüm oturum açmaların denetlendiğinden emin olmak için yerel güvenlik politikasındaki (veya bir alanın parçasıysa alan adı politikasındaki) denetim ayarlarınızı doğruladınız mı? Daha fazla bilgiye ihtiyacınız varsa bana bildirin.

— Şanslı Luke

Gerçekten de sorun buydu. Grup İlkesi'ne girdim ve kapatıldı.

— Trido

İlginç. Hangi ayarı açtınız? Biraz garip olan şey, diğer oturum açma olaylarını görüyorsunuz, ancak konsol oturum açmalarını görmüyorsunuz. Hepsi aynı ayarla yapılandırılmış izlenimi altındaydım.

— Şanslı Luke

Yanıtlar:

Doğru yoldasınız - sorgunuzdaki hatalardan biri 'Oturum Açma Türü' içindeki alan, sadece 'Oturum Açma Türü' olmalıdır.

Ben sadece doğruladı çalışmaları doğruladı bir sorgu yapıştırdı. Biraz basitleştirilmiş ama fikri anladınız. 'John.doe' kullanıcısından oturum açma türü 2 olan 4624 olayın tümünü gösterir.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

Olay görüntüleyicide XML sorguları hakkında daha fazla bilgiyi şu adreste bulabilirsiniz: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event- viewer.aspx .

Wevtutil.exe ile olayları komut satırından sorgulayabilirsiniz: http://technet.microsoft.com/en-us/magazine/dd310329.aspx .

— Şanslı luke
kaynak

Hmm, bu çok garip. Koştuğumda, 0 sonuç döndürdüm. Sorguyu yalnızca Oturum Açma Türü'ne basitleştirdiğimde bile. Neden işe yaramadığını gerçekten anlamıyorum.

— Trido

Sorumu mevcut sorgum ve sorunumla güncelledim.

— Trido

RDP aracılığıyla sunucularımdan birine kimin bağlandığını bulmak için tam olarak ihtiyacım olan şey bu. Sadece '10' LogonType değiştirmek zorunda kaldı (ve kullanıcı adı hakkında biraz kaldırmak).

— Charles Burge

Bu soruyu buldum ve işlevsel bir çözüm elde etmek için kabul edilen cevap ve soru güncellemelerinden içeriği ayrıştırmak için biraz çalışma yapmak zorunda kaldım. Gelecekte başvurmak üzere tam, çalışan bir sorgu sözdizimi yayınlayacağımı düşündüm:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

Yukarıdaki sorgu olayları aşağıdaki parametrelere göre daraltmak için çalışmalıdır:

Güvenlik günlüğündeki olaylar.
Olay Kimliği 6424 ile
Son 30 gün içinde meydana gelir.
John.doe kullanıcısı ile ilişkilendirilir.
LogonType 10 ile.

(Data='10')Yukarıdaki kodu değiştirerek filtredeki LogonTypes değerlerini değiştirebilirsiniz . Örneğin, (Data='2')veya yapmak isteyebilirsiniz (Data='10' or Data='2').

— Iszi
kaynak