Kullanıcı tarafından filtrelenen oturum açma sürelerini onaylamak için Olay Görüntüleyicisi'ni nasıl kullanabilirim?


16

İş yerinde başlangıç ​​ve bitiş saatlerimi kaydetmem gerekiyor. Bazen bunu yapmayı unutuyorum ve Güvenlik olayları günlüğünü kontrol etmenin zamanlarımı geriye dönük olarak tespit etmeme izin vereceği konusunda parlak bir fikrim vardı.

Ne yazık ki, günlükler düşündüğümden çok daha büyük ve Olay Görüntüleyicisi'nde görüntülenmesi biraz zaman alıyor. Ayrıca, günlükleri tarihe ve kullanıcı kimliğine göre filtrelemeyi denedim ama şimdiye kadar bu sonuç vermedi.

Fikrimin uygulanabilir olduğunu varsayarsak, ihtiyacım olan bilgiyi almak için ne yapmam gerektiğini adım adım söyleyebilir miyim?

GÜNCELLEME:

@Surfasb'ın talimatlarını izledim ve sadece girişleri görebildiğim noktaya geldim, ancak bunlardan bazıları Sistem düzeyinde (insan dışı) girişler. Sadece 'fiziksel' girişlerimi görmek istiyorum (hafta içi böyle iki ya da üç olay olacaktı) ve diğer tüm şeyleri değil.

Her ikisini de kullanarak aşağıda gösterildiği gibi Windows kullanıcı adımı alana koymayı denedim domain\usernameve usernamebu sadece her şeyi filtreliyor. Yardımcı olabilir misiniz?

resim açıklamasını buraya girin

Yanıtlar:


10

Varsayılan yapılandırma oldukça dağınık hale getirir. Bunun nedeni, Windows'un ağ bilgisayarlarına oturum açmanız gerektiğinde de izlemesidir. Ayrıca kullanıcı hesabını değil, bilgisayar hesabınızı her oturum açma oturumu oluşturduğunda izler.

Sen kullanmalıdır denetim hesabı oturum açma seçeneği değil denetim oturum açma seçeneği.

Aradığınız etkinliklerde hesabınızın Tam Nitelikli Alan Adı olacaktır. Örneğin, bir etki alanında değilseniz, aradığınız arama metni bilgisayar_adı / hesap_adı şeklindedir.

Düzenle

Başka bir fikir de oturum açma ve oturum kapatma komut dosyaları oluşturmaktır. Windows 7 sürümünüze bağlı olarak gpedit.msc, Grup İlkesi Konsolu'nu açmak için kullanabilirsiniz .

O zaman sadece komutu olan bir toplu iş dosyasına ihtiyacınız olacak logevent "My login/logoff event" -e 666. Bu olay Uygulama Günlüğünde görünecektir

Düzenle

Bir alan adında değilseniz bu daha kolay olacaktır. Yerel Güvenlik / Yerel İlkeler / Güvenlik seçenekleri altına girerseniz, "Denetimi Zorla ..." seçeneğini bulun. Adını unuttum. Ancak devre dışı bırakın. Konsolda oturum açan bir kullanıcı bazı durumlarda aynı Olay Kimliğini paylaştığından, Güvenlik günlükleri daha az ayrıntılı hale gelir. Aramak istediğiniz bazı Etkinlik Kimlikleri:

  • Olay 4647 - oturum kapatma, yeniden başlatma, kapatma düğmesine bastığınızda gerçekleşir. Bilgisayarınızı yeniden başlatmak için Windows güncellemesi bazen bu olayı başlatır :(
  • Olay 4648 - bu, bir işlemin (giriş ekranını içeren) oturum açmak için bir belirteç söylemek yerine açık kimlik bilgilerinizi kullandığı zamandır. Bu, Runas komutunu ve birçok kez yedekleme programlarını içerir.
  • Event 4800 - İş istasyonunuz kilitlendiğinde, örneğin WIN + L tuşlarına basın
  • Event 4801 - İş istasyonunuzun kilidi açıldığında

Genellikle, 4647 ve 4648 olaylarını kullanarak alabilirsiniz. Ne yazık ki kesin bir yangın yöntemi yoktur, çünkü oturum açtığınızda ve bilgisayarınızı kapattığınızda meydana gelen bin şey vardır.

Bunun için, işte, giriş komut dosyasının tetiklenmesini ve çıkışta, iki program ve yangın olayları olarak aradığımız bir senkronizasyon etkinliği var.


Yanıtınız için teşekkürler. Biraz daha ayrıntı verebilir misiniz lütfen? Win7 sistem yönetiminin karanlık dünyasında
yeniyim

Nereden başlamam gerektiği hakkında hiçbir fikrim yok. "Bilgisayarını aç"?
surfasb

Ahem. Olay Görüntüleyicisi günlüklerini filtrelediğim kadar güvenli bir şekilde başardığımı varsayabilirsiniz ...
5arx

Yerel Güvenlik Seçenekleri'nin altına gidin ve Hesap Oturumunu Denetle'yi açın. Ack. Gönderiyi bir saat içinde burada düzenleyeceğim. . .
surfasb

Bir düzenlemeye bazı yararlı etkinlikler ekledim. Umarım bu yardımcı olur.
surfasb

1

Basit Çözüm:

  1. Özel görünüm oluşturmak istediğiniz etkinliği veya etkinlikleri açın.
  2. Pencereyi görünecek bir yere taşıyın (ekranın bir tarafı, ikinci monitör veya yazdırın)
  3. Yeni görünüm oluşturun ve açılan olay parametrelerini kullanarak tanımlayın (örneğin: Kullanıcı, Anahtar Kelimeler, Bilgisayar, vb.) Bu durumda, kullanıcı N / A idi, bu yüzden sadece Bilgisayar ve olay kimliğini kullandım (4648 değil, 4648)
  4. Parametreleri gerektiği gibi değiştirdikten sonra kaydedin.

Bu yöntem, günlüğe kaydetmek istediğiniz herhangi bir olay veya olay kümesi için kullanışlıdır. Karmaşık görevler veya üçüncü taraf yazılımlar gerektirmez.


0

Aynı sorunu yaşadım ve şu adımları kullanarak çözmeyi başardım:

Y: MyEventViewer'ı (ücretsiz) kurun ve bu programdaki olaylar listesini açın.

Ne yazık ki, olayları MyEventViewer'daki açıklamaya göre nasıl filtreleyebileceğimi (ve açıklama giriş adının nerede saklandığını) bulamadım, ancak en azından ana tabloda açıklamayı görüntüler.

B: Bu tabloyu log1.txt dosyasına aktarın

C: Belirli bir kullanıcının oturum açma zamanlarını almak için bazı gelişmiş metin arama programlarını kullanın.

Grep kullandım.

Bu, dışa aktarılan olayların biçimidir:

Günlük Türü: Güvenlik

Etkinlik Türü: Başarı Denetimi

Zaman: 10.12.2012 18:33:24

Olay Kimliği: 680

Kullanıcı Adı: SYSTEM

Bilgisayar: YYY

Olay Açıklaması: Oturum açma girişimi: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Oturum açma hesabı: XXX Kaynak İş İstasyonu: YYY Hata Kodu: 0x0

==================================================

==================================================

Öncelikle XXX kullanıcısıyla tüm oturum açma işlemlerini çıkarın.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Bu, XXX kullanıcısına göre oturum açma denemelerini filtreleyecek ve log2.txt dosyasına yazdıracaktır. -B 4 grep seçeneği gereklidir, çünkü aradığımız bilgi (giriş zamanı) aradığımız kalıbı (kullanıcı adı) içeren satırın 4 satır üzerinde saklanır.

D: Oturum açma sürelerini log2.txt dosyasından çıkarın

$ grep "Time" log2.txt > log3.txt

Şimdi log3.txt, verilen kullanıcı için tüm oturum açma sürelerini listeler:

Zaman: 10.12.2012 14:12:32

Zaman: 7.12.2012 16:20:46

Zaman: 5.12.2012 19:22:45

Zaman: 5.12.2012 18:57:55

Daha basit bir çözüm muhtemelen var ama bulamıyorum, bu yüzden bu benim için hile yapmak zorunda kaldı.


0

XML filtresi sekmesini kullanmayı deneyin ve aşağıdakileri belirtin:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.