Ver histórico de login do usuário com WindowsLogon [Powershell]

Navegue suas respostas
1

Atualmente, estou tentando descobrir como visualizar um histórico de login de usuários em uma máquina específica. Este comando deve ser executado localmente para exibir quanto tempo o consultor gasta em um servidor.

Atualmente, só tenho conhecimento desse comando que extrai o EventLog completo, mas preciso filtrá-lo para exibir por usuário ou um usuário específico.

Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-5) -ComputerName $env:computername

    
por EveningCommuter 20.09.2016 / 18:16

1 resposta

2

Saindo da discussão nos comentários, você pode pesquisar o log de eventos usando o Powershell. 

Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
  • Get-EventLog permite acessar o log de eventos, especificamente os logs de segurança
  • O primeiro Where-Object especifica que você deseja registros que sejam mais recentes que a data fornecida
  • O segundo Where-Object especifica os dois IDs de evento nos quais você está interessado
  • Select-Object nos permite apenas retornar colunas que estamos interessados em ter na saída

Você provavelmente precisará executar isso a partir de uma instância elevada do Powershell, já que isso está acessando o registro do Windows.

    
por 20.09.2016 / 20:36

Tags

O atributo “ShadowLastChange” não funciona como integrar os mecanismos de pesquisa do Google Chrome com um aplicativo de inicialização rápida como o alfred