Como posso usar o Visualizador de Eventos para confirmar os tempos de login filtrados pelo Usuário?

Navegue suas respostas
15

Eu preciso registrar minhas horas de início e término no trabalho. Ocasionalmente, esqueço-me de fazer isso e tive uma ideia brilhante de que verificar o log de eventos de segurança permitir-me-ia verificar retrospectivamente os meus tempos.

Infelizmente, os logs são muito maiores do que eu pensava e demoram até para serem exibidos no Visualizador de Eventos. Além disso, tentei filtrar os logs por data e ID do usuário, mas até agora isso não gerou resultados.

Assumindo que minha ideia é viável, alguém pode explicar o que eu preciso fazer para recuperar as informações de que preciso?

ATUALIZAÇÃO:

Eu segui as instruções do @surfasb e consegui apontar para onde posso ver apenas os logins, porém alguns deles são logins no nível do sistema (ou seja, não humanos). Gostaria de ver apenas meus logins "físicos" (haveria apenas dois ou três eventos desse tipo durante a semana) e não todas as outras coisas.

Eu tentei colocar meu nome de usuário do Windows no campo, conforme mostrado abaixo usando domain\username e apenas username , mas isso apenas filtra tudo. Você pode ajudar?

    
por 5arx 19.09.2011 / 15:34

4 respostas

10

A configuração padrão faz com que seja um pouco confuso. Isso ocorre porque o Windows também rastreia sempre que você precisa fazer o login em computadores da rede. Ele também rastreia toda vez que sua conta de computador, não a conta de usuário, cria uma sessão de login.

Você deve usar a opção logon da conta de auditoria , e não a opção auditoria de logon .

Os eventos que você está procurando terão o nome de domínio totalmente qualificado da sua conta. Por exemplo, se você não estiver em um domínio, o texto de pesquisa que você está procurando é computer_name / account_name.

editar

Outra ideia é criar scripts de login e logoff. Dependendo da sua edição do Windows 7, você pode usar gpedit.msc para abrir o Console de Políticas de Grupo.

Então, você só precisará de um arquivo batch que tenha o comando logevent "My login/logoff event" -e 666 . Este evento será exibido no log do aplicativo

editar

Isso será mais fácil se você não estiver em um domínio. Se você passar para as opções Segurança Local / Políticas Locais / Segurança, procure a opção "Forçar Auditoria ...". Eu esqueci o nome dele. Mas desabilite isso. Isso tornará os logs de segurança menos detalhados, já que um usuário que faz login no console, em alguns casos, compartilha o mesmo ID de evento. Algumas IDs de evento que você deseja procurar:

  • Evento 4647 - é quando você clica no botão desligar, reiniciar e desligar. A atualização do Windows que está reiniciando seu computador também às vezes desencadeia esse evento: (
  • Evento 4648 - é quando um processo (que inclui a tela de login) usa suas credenciais explícitas, em vez de dizer um token, para efetuar login. Isso inclui o comando Runas e, muitas vezes, programas de backup.
  • Evento 4800 - Quando sua estação de trabalho está bloqueada, como pressionar WIN + L
  • Evento 4801 - Quando sua estação de trabalho está desbloqueada

Geralmente, você pode usar os eventos 4647 e 4648. Infelizmente, não há um método de disparo seguro, pois há mil coisas que acontecem quando você faz login e logoff do seu computador.

Para isso vale a pena, no trabalho, procuramos o script de login para disparar e no logoff, há dois programas, bem como um evento de sincronização que procuramos como eventos de incêndio.

    
por 19.09.2011 / 16:33
1

Solução simples:

  1. Abra o evento ou eventos para os quais você deseja criar uma visualização personalizada.
  2. Mover a janela para algum lugar visível (um lado da tela, segundo monitor ou imprimi-lo)
  3. Crie uma nova visualização e defina usando os parâmetros de evento abertos (por exemplo: Usuário, Palavras-chave, Computador, etc ....) Nesse caso, o usuário era N / A, então usei o Computador e ID de evento (4648, não 4624)
  4. Após modificar os parâmetros conforme necessário, salve.

Este método é útil para qualquer evento ou conjunto de eventos que você deseja registrar. Não requer tarefas complexas ou software de terceiros.

    
por 03.07.2018 / 15:59
0

Eu tive o mesmo problema e consegui resolvê-lo usando estas etapas:

A: Instale o MyEventViewer (freeware) e abra a lista de eventos neste programa.

Infelizmente, não encontrei como filtrar os eventos por descrição (e a descrição é onde está o nome de login armazenado) no MyEventViewer, mas pelo menos, mas ele exibe a descrição na tabela principal.

B: Exportar esta tabela para log1.txt

C: Use algum programa avançado de pesquisa de texto para extrair os tempos de login de determinado usuário.

Eu usei o grep.

Este é o formato dos eventos exportados:

Log Type : Security

Event Type : Audit Success

Time : 10.12.2012 18:33:24

Event ID : 680

User Name : SYSTEM

Computer : YYY

Event Description : Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX Source Workstation: YYY Error Code: 0x0

==================================================

==================================================

Primeiro, extraia todas as tentativas de logon do usuário XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Isso filtrará as tentativas de logon do usuário XXX e as imprimirá no log2.txt. A opção -B 4 grep é necessária porque as informações que estamos procurando (tempo de login) são armazenadas 4 linhas acima da linha que contém o padrão que estamos procurando (nome de usuário).

D: Extraia os tempos de login de log2.txt

$ grep "Time" log2.txt > log3.txt

Agora log3.txt lista todos os tempos de login para determinado usuário:

Time : 10.12.2012 14:12:32

Time : 7.12.2012 16:20:46

Time : 5.12.2012 19:22:45

Time : 5.12.2012 18:57:55

A solução mais simples provavelmente existe, mas eu não consegui encontrá-la, então isso teve que fazer o truque para mim.

    
por 11.12.2012 / 19:57
0

Tente usar a guia de filtro XML e especifique o seguinte: 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
    
por 20.07.2016 / 16:38

Tags

Como obtenho o Windows 8 para executar 2 aplicativos Metro em cada exibição de uma exibição estendida? Qual é a página de código do UTF-8?