Wie kann ich die Ereignisanzeige verwenden, um die nach Benutzer gefilterten Anmeldezeiten zu bestätigen?

87414
5arx

Ich muss meine Start- und Endzeiten bei der Arbeit protokollieren. Gelegentlich vergesse ich, dies zu tun, und hatte eine kluge Idee, dass das Überprüfen der Sicherheitsereignisprotokolle es mir ermöglichen würde, meine Zeiten nachzuschauen.

Leider sind die Protokolle viel größer als ich dachte und es dauert sogar eine Weile, bis sie in der Ereignisanzeige angezeigt werden. Ich habe auch versucht, die Protokolle nach Datum und Benutzer-ID zu filtern, dies hat jedoch bisher keine Ergebnisse ergeben.

Angenommen, meine Idee ist machbar. Kann jemand durchgehen, was ich tun müsste, um die benötigten Informationen abzurufen?

AKTUALISIEREN:

Ich folgte den Anweisungen von @surfasb und bekam den Punkt, an dem ich nur die Anmeldungen sehen kann. Einige dieser Anmeldungen sind jedoch Anmeldungen auf Systemebene. Ich möchte nur meine "physischen" Logins sehen (an Wochentagen würde es nur zwei oder drei derartige Ereignisse geben) und nicht alle anderen Dinge.

Ich habe versucht, meinen Windows-Benutzernamen in das Feld zu setzen, wie unten gezeigt, domain\usernameund zwar beide, usernameaber dies filtert alles heraus. Kannst du helfen?

enter image description here

15

4 Antworten auf die Frage

10
surfasb

Die Standardkonfiguration macht es ziemlich chaotisch. Dies liegt daran, dass Windows auch verfolgt, wenn Sie sich bei Netzwerkcomputern anmelden müssen. Es erfasst auch jedes Mal, wenn Ihr Computerkonto, nicht das Benutzerkonto, eine Anmeldesitzung erstellt.

Sie sollten die Anmeldeoption des Prüfkontos und nicht die Prüfanmeldeoption verwenden .

Die Ereignisse, nach denen Sie suchen, haben den vollständig qualifizierten Domänennamen Ihres Kontos. Wenn Sie sich beispielsweise nicht in einer Domäne befinden, lautet der Suchtext, nach dem Sie suchen, Computername / Kontoname.

bearbeiten

Eine andere Idee ist, Anmelde- und Abmeldeskripts zu erstellen. Je nach Ihrer Edition von Windows 7 können Sie gpedit.mscdie Gruppenrichtlinienkonsole aufrufen.

Dann brauchen Sie nur eine Batchdatei, die den Befehl enthält logevent "My login/logoff event" -e 666. Dieses Ereignis wird im Anwendungsprotokoll angezeigt

bearbeiten

Dies ist einfacher, wenn Sie sich nicht in einer Domäne befinden. Wenn Sie unter Lokale Sicherheit / Lokale Richtlinien / Sicherheitsoptionen wechseln, suchen Sie nach der Option "Überwachung erzwingen". Ich habe den Namen vergessen. Aber deaktiviere es. Dadurch werden die Sicherheitsprotokolle weniger ausführlich, da ein Benutzer, der sich an der Konsole anmeldet, in einigen Fällen dieselbe Ereignis-ID verwendet. Einige Event-IDs, nach denen Sie suchen möchten:

  • Ereignis 4647 - Wenn Sie auf die Schaltfläche zum Abmelden, Neustarten und Herunterfahren klicken. Das Windows-Update, das Ihren Computer neu startet, löst manchmal auch dieses Ereignis aus :(
  • Ereignis 4648 - Dies ist der Fall, wenn ein Prozess (der den Anmeldebildschirm enthält) Ihre expliziten Anmeldeinformationen verwendet, anstatt ein Token zu sagen, um sich anzumelden. Dazu gehören der Befehl Runas und häufig auch Sicherungsprogramme.
  • Ereignis 4800 - Wenn Ihre Workstation gesperrt ist, drücken Sie beispielsweise WIN + L
  • Ereignis 4801 - Wenn Ihre Workstation entsperrt ist

Im Allgemeinen können Sie die Ereignisse 4647 und 4648 verwenden. Leider gibt es keine sichere Methode, da es tausend Dinge gibt, die beim Anmelden und Abmelden Ihres Computers auftreten.

Dafür lohnt es sich, bei der Arbeit nach dem Anmeldeskript zu suchen, und beim Abmelden gibt es zwei Programme sowie ein Synchronisationsereignis, nach dem wir nach sicheren Feuerereignissen suchen.

Vielen Dank für Ihre Antwort. Könnten Sie bitte ein bisschen mehr ausarbeiten? Ich bin neu in der trüben Welt der Win7-Systemverwaltung :-( 5arx vor 12 Jahren 0
Ich habe keine Ahnung wo ich anfangen soll. "Schalte deinen Computer ein"? surfasb vor 12 Jahren 0
Hm. Sie können sicher davon ausgehen, dass ich es geschafft habe, die Protokolle der Ereignisanzeige zu filtern ... 5arx vor 12 Jahren 0
Wechseln Sie zu den lokalen Sicherheitsoptionen und aktivieren Sie die Prüfkontoanmeldung. Ack. Ich werde meinen Beitrag in einer Stunde hier bearbeiten. . . surfasb vor 12 Jahren 0
Ich habe einige hilfreiche Ereignisse in einem Schnitt hinzugefügt. Ich hoffe das hilft. surfasb vor 12 Jahren 0
Wenn Ihre Frage beantwortet wird, sollten Sie sie für zukünftige Zuschauer als akzeptiert markieren. surfasb vor 12 Jahren 0
Das tat es irgendwie, aber ich habe immer noch Schwierigkeiten. Wäre dankbar, wenn Ihr mein Update anschauen könnt :-D 5arx vor 12 Jahren 0
1
applephx

Einfache Lösung:

  1. Öffnen Sie das Ereignis oder die Ereignisse, für die Sie eine benutzerdefinierte Ansicht erstellen möchten.
  2. Bewegen Sie das Fenster an eine Stelle, die sichtbar sein soll (eine Seite des Bildschirms, ein zweiter Monitor oder drucken Sie es).
  3. Erstellen Sie eine neue Ansicht und definieren Sie sie mithilfe der geöffneten Ereignisparameter (z. B. Benutzer, Schlüsselwörter, Computer usw.). In diesem Fall war der Benutzer N / A. Daher habe ich nur die Computer- und Ereignis-ID verwendet (4648, nicht 4624).
  4. Speichern Sie nach dem Ändern der Parameter nach Bedarf.

Diese Methode ist nützlich für alle Ereignisse oder Ereignisgruppen, die Sie protokollieren möchten. Es erfordert keine komplexen Aufgaben oder Software von Drittanbietern.

0
celicni

Ich hatte das gleiche Problem und konnte dieses Problem mithilfe der folgenden Schritte lösen:

A: Installieren Sie MyEventViewer (Freeware) und öffnen Sie die Ereignisliste in diesem Programm.

Leider habe ich in MyEventViewer nicht gefunden, wie die Ereignisse nach Beschreibung gefiltert werden sollen (und die Beschreibung, wo der Anmeldename gespeichert ist), aber zumindest wird die Beschreibung in der Haupttabelle angezeigt.

B: Exportieren Sie diese Tabelle in log1.txt

C: Verwenden Sie ein erweitertes Textsuchprogramm, um die Anmeldezeiten für einen bestimmten Benutzer zu ermitteln.

Ich habe grep benutzt.

Dies ist das Format der exportierten Ereignisse:

Protokolltyp: Sicherheit

Ereignistyp: Audit-Erfolg

Zeit: 10.12.2012 18:33:24

Ereignis-ID: 680

Benutzername: SYSTEM

Computer: JJJJ

Ereignisbeschreibung: Anmeldeversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: XXX Quellarbeitsstation: JJJ Fehlercode: 0x0

==================================================

==================================================

Extrahieren Sie zunächst alle Anmeldeversuche nach Benutzer XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Dadurch werden die Anmeldeversuche nach Benutzer XXX gefiltert und in log2.txt ausgegeben. Die Option -B 4 grep ist erforderlich, da die gesuchten Informationen (Anmeldungszeit) vier Zeilen über der Zeile mit dem gesuchten Muster (Benutzername) gespeichert sind.

D: Anmeldezeiten aus log2.txt extrahieren

$ grep "Time" log2.txt > log3.txt

Jetzt listet log3.txt alle Login-Zeiten für den angegebenen Benutzer auf:

Zeit: 10.12.2012 14:12:32 Uhr

Zeit: 7.12.2012 16:20:46

Zeit: 5.12.2012 19:22:45

Zeit: 5.12.2012 18:57:55

Es gibt wahrscheinlich eine einfachere Lösung, aber ich konnte sie nicht finden, also musste dies den Trick für mich tun.

0
Janis S.

Versuchen Sie es mit der Registerkarte " XML- Filter" und geben Sie Folgendes an:

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[EventID=4672]  and EventData[Data[@Name='SubjectUserName'] = 'your_username']] </Select> </Query> </QueryList>

Verwandte Probleme