Wie kann ich die Ereignisanzeige verwenden, um die nach Benutzer gefilterten Anmeldezeiten zu bestätigen?

15

Ich muss meine Start- und Endzeiten bei der Arbeit protokollieren. Gelegentlich vergesse ich dies und hatte die gute Idee, dass ich durch Überprüfen des Sicherheitsereignisprotokolls nachträglich meine Zeiten ermitteln kann.

Leider sind die Protokolle viel größer als gedacht und es dauert eine Weile, bis sie in der Ereignisanzeige angezeigt werden. Ich habe auch versucht, die Protokolle nach Datum und Benutzer-ID zu filtern, aber bisher hat dies keine Ergebnisse erbracht.

Unter der Annahme, dass meine Idee machbar ist, kann jemand Schritt für Schritt nachvollziehen, was ich tun muss, um die benötigten Informationen abzurufen?

AKTUALISIEREN:

Ich befolgte die Anweisungen von @surfasb und bekam den Punkt, an dem ich nur die Anmeldungen sehen kann. Einige davon sind jedoch Anmeldungen auf Systemebene (dh nicht auf menschlicher Ebene). Ich möchte nur meine "physischen" Logins sehen (es würde nur zwei oder drei solcher Ereignisse an Wochentagen geben) und nicht alle anderen Dinge.

Ich habe versucht , meine Windows - Benutzername in dem Feld setzen , da beide unter Verwendung gezeigt domain\usernameund nur , usernameaber diese Filter nur aus allem. Kannst du helfen?

Bildbeschreibung hier eingeben

windows-7  security  logging  event-log  event-viewer 
5arx
quelle

Antworten:

10

Die Standardkonfiguration macht es ziemlich chaotisch. Dies liegt daran, dass Windows auch nachverfolgt, wann immer Sie sich bei Netzwerkcomputern anmelden müssen. Es wird auch jedes Mal nachverfolgt, wenn Ihr Computerkonto und nicht das Benutzerkonto eine Anmeldesitzung erstellt.

Sie sollten die Anmeldeoption für das Überwachungskonto und nicht die Anmeldeoption für die Überwachung verwenden .

Die Ereignisse, nach denen Sie suchen, haben den vollqualifizierten Domain-Namen Ihres Kontos. Wenn Sie sich beispielsweise nicht in einer Domain befinden, lautet der gesuchte Suchtext Computername / Kontoname.

bearbeiten

Eine weitere Idee ist das Erstellen von Anmelde- und Abmeldeskripten. Abhängig von Ihrer Edition von Windows 7 können Sie gpedit.mscdie Gruppenrichtlinienkonsole aufrufen.

Dann brauchen Sie nur eine Batchdatei mit dem Befehl logevent "My login/logoff event" -e 666. Dieses Ereignis wird im Anwendungsprotokoll angezeigt

bearbeiten

Dies ist einfacher, wenn Sie keiner Domain angehören. Wenn Sie unter Lokale Sicherheit / Lokale Richtlinien / Sicherheitsoptionen nachsehen, suchen Sie nach der Option "Überwachung erzwingen ...". Ich habe den Namen vergessen. Aber deaktiviere es. Dadurch werden die Sicherheitsprotokolle weniger ausführlich, da ein Benutzer, der sich an der Konsole anmeldet, in einigen Fällen dieselbe Ereignis-ID verwendet. Einige Ereignis-IDs, nach denen Sie suchen möchten:

  • Ereignis 4647 - Dies ist, wenn Sie auf die Schaltfläche Abmelden, Neustarten, Herunterfahren klicken. Windows Update, das Ihren Computer neu startet, löst manchmal auch dieses Ereignis aus :(
  • Ereignis 4648 - In diesem Fall verwendet ein Prozess (der den Anmeldebildschirm enthält) Ihre expliziten Anmeldeinformationen, anstatt ein Token für die Anmeldung anzugeben. Dies beinhaltet den Befehl Runas und häufig Sicherungsprogramme.
  • Ereignis 4800 - Wenn Ihre Workstation gesperrt ist, drücken Sie beispielsweise WIN + L
  • Ereignis 4801 - Wenn Ihre Workstation entsperrt ist

Im Allgemeinen können Sie die Ereignisse 4647 und 4648 verwenden. Leider gibt es keine sichere Feuermethode, da beim An- und Abmelden Ihres Computers tausend Dinge passieren.

Dafür lohnt es sich, bei der Arbeit nach dem Anmeldeskript zu suchen, und beim Abmelden gibt es zwei Programme sowie ein Synchronisierungsereignis, das wir als sicheres Feuerereignis suchen.

surfasb
quelle
Vielen Dank für Ihre Antwort. Könnten Sie bitte etwas näher darauf eingehen? Ich bin neu in der düsteren Welt der Win7-Systemadministration :-(
5arx
Ich habe keine Ahnung, wo ich anfangen soll. "Schalte deinen Computer ein"?
Surfasb
Hm. Sie können davon ausgehen, dass es mir gelungen ist, die Protokolle der Ereignisanzeige zu filtern ...
5arx
Gehen Sie zu den lokalen Sicherheitsoptionen und aktivieren Sie die Kontoanmeldung überwachen. Ack. Ich bearbeite meinen Beitrag in einer Stunde hier. . .
Surfasb
Ich habe einige hilfreiche Ereignisse in einer Bearbeitung hinzugefügt. Ich hoffe das hilft.
Surfasb
1

Einfache Lösung:

  1. Öffnen Sie das Ereignis oder die Ereignisse, für die Sie eine benutzerdefinierte Ansicht erstellen möchten.
  2. Verschieben Sie das Fenster an eine Stelle, die sichtbar sein soll (eine Seite des Bildschirms, zweiter Bildschirm oder drucken Sie es aus).
  3. Neue Ansicht erstellen und mit den geöffneten Ereignisparametern definieren (z. B. Benutzer, Schlüsselwörter, Computer usw.). In diesem Fall war der Benutzer nicht zutreffend, daher habe ich nur die Computer- und Ereignis-ID verwendet (4648, nicht 4624).
  4. Nachdem Sie die Parameter nach Bedarf geändert haben, speichern Sie sie.

Diese Methode eignet sich für alle Ereignisse oder Ereignissätze, die Sie protokollieren möchten. Es sind keine komplexen Aufgaben oder Software von Drittanbietern erforderlich.

applephx
quelle
0

Ich hatte das gleiche Problem und konnte es mit den folgenden Schritten lösen:

A: Installieren Sie MyEventViewer (Freeware) und öffnen Sie die Ereignisliste in diesem Programm.

Leider habe ich in MyEventViewer nicht herausgefunden, wie die Ereignisse nach Beschreibung gefiltert werden können (und in der Beschreibung wird der Anmeldename gespeichert), aber es wird zumindest die Beschreibung in der Haupttabelle angezeigt.

B: Exportieren Sie diese Tabelle in die Datei log1.txt

C: Verwenden Sie ein erweitertes Textsuchprogramm, um die Anmeldezeiten für einen bestimmten Benutzer zu extrahieren.

Ich habe grep benutzt.

Dies ist das Format für exportierte Ereignisse:

Protokolltyp: Sicherheit

Ereignistyp: Audit-Erfolg

Zeit: 10.12.2012 18:33:24

Ereignisid: 680

Benutzername: SYSTEM

Computer: JJJ

Ereignisbeschreibung: Anmeldeversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: XXX Quell-Workstation: JJJ Fehlercode: 0x0

================================================

================================================

Extrahieren Sie zuerst alle Anmeldeversuche des Benutzers XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Dadurch werden die Anmeldeversuche von Benutzer XXX gefiltert und in log2.txt gedruckt. -B Die Option 4 grep ist erforderlich, da die gesuchte Information (Anmeldezeit) 4 Zeilen über der Zeile gespeichert wird, die das gesuchte Muster (Benutzername) enthält.

D: Anmeldezeiten aus log2.txt extrahieren

$ grep "Time" log2.txt > log3.txt

Jetzt listet log3.txt alle Anmeldezeiten für den angegebenen Benutzer auf:

Zeit: 10.12.2012 14:12:32

Zeit: 7.12.2012 16:20:46

Zeit: 5.12.2012 19:22:45

Zeit: 5.12.2012 18:57:55

Wahrscheinlich gibt es eine einfachere Lösung, aber ich konnte sie nicht finden, daher musste dies den Trick für mich tun.

celicni
quelle
0

Versuchen Sie, die Registerkarte XML- Filter zu verwenden, und geben Sie Folgendes an:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Janis S.
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.