Fui solicitado a descobrir quando um usuário fez logon no sistema na última semana. Agora os logs de auditoria no Windows devem conter todas as informações de que preciso. Eu acho que se eu procurar por ID de evento 4624 (Logon Success) com um usuário específico do AD e Logon tipo 2 (Logon interativo) ele deve fornecer as informações necessárias, mas durante a vida útil não consigo descobrir como realmente filtrar o log de eventos para obter essas informações. É possível dentro do Visualizador de Eventos ou você precisa usar uma ferramenta externa para analisar este nível?
Eu encontrei o link que parecia para fazer parte do que eu precisava. Eu modifiquei ligeiramente para apenas me dar os últimos 7 dias no valor. Abaixo está o XML que eu tentei.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Isso só me deu os últimos 7 dias, mas o resto não funcionou.
Alguém pode me ajudar com isso?
EDITAR
Graças às sugestões de Lucky Luke, tenho feito progressos. O abaixo é a minha consulta atual, embora, como explicarei, não esteja retornando nenhum resultado.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Como eu mencionei, ele não estava retornando nenhum resultado, então eu tenho mexido com isso um pouco. Eu posso obtê-lo para produzir os resultados corretamente até adicionar na linha LogonType. Depois disso, não retorna nenhum resultado. Alguma idéia de por que isso pode ser?
EDIT 2
Atualizei a linha LogonType para o seguinte:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Isso deve capturar os Logons da Estação de Trabalho, bem como os Desbloqueios da Estação de Trabalho, mas ainda assim não recebo nada. Em seguida, modifico-o para procurar outros tipos de logon, como 3 ou 8, que ele encontra em abundância. Isso me leva a acreditar que a consulta funciona corretamente, mas, por algum motivo, não há entradas nos Logs de Eventos com Tipo de Logon igual a 2 e isso não faz sentido para mim. É possível desligar isso?