Geçen hafta bir kullanıcının sisteme ne zaman giriş yaptığını öğrenmem istendi. Şimdi Windows'taki denetim günlükleri ihtiyacım olan tüm bilgileri içermelidir. Sanırım ihtiyacım olan bilgiyi vermesi gereken belirli bir AD kullanıcısı ve Oturum Açma Türü 2 (Etkileşimli Oturum Açma) ile Olay Kimliği 4624'ü (Oturum Açma Başarısı) ararsam, ancak hayatım boyunca gerçekten nasıl filtreleneceğini anlayamıyorum bu bilgileri almak için Olay Günlüğü'nü tıklayın. Olay Görüntüleyicisi'nin içinde mümkün mü yoksa bu seviyeye ayrıştırmak için harici bir araç mı kullanmanız gerekiyor?
İhtiyacım olanın bir parçası gibi görünen http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html buldum . Sadece son 7 güne değer vermek için biraz değiştirdim. Aşağıda denediğim XML var.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Bana sadece son 7 günü verdi, ama geri kalanı işe yaramadı.
Biri bana bu konuda yardımcı olabilir mi?
DÜZENLE
Lucky Luke'un önerileri sayesinde ilerleme kaydediyorum. Aşağıdaki benim geçerli sorgu, ancak açıklayacağım gibi herhangi bir sonuç döndürmüyor.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Dediğim gibi, ben biraz karışıklık olmuştur herhangi bir sonuç döndürmüyordu. LogonType satırına ekleyin kadar sonuçları doğru üretmek için alabilirsiniz. Bundan sonra sonuç döndürmez. Bunun neden olabileceğine dair bir fikrin var mı?
DÜZENLEME 2
LogonType satırını aşağıdaki şekilde güncelledim:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Bu, İş İstasyonu Oturum Açma İşlemlerinin yanı sıra İş İstasyonu Kilitlerini de yakalamalıdır, ancak yine de hiçbir şey alamıyorum. Daha sonra 3 veya 8 gibi bolca bulduğu diğer Oturum Açma Türlerini aramak için değiştirdim. Bu, sorgunun doğru çalıştığına inanmamı sağlıyor, ancak bazı nedenlerden dolayı Oturum Açma Türü 2 olan Olay Günlüklerinde 2 giriş yok ve bu benim için anlamlı değil. Bunu kapatmak mümkün mü?