Filtrando logs de segurança por usuário e tipo de logon

Navegue suas respostas
14

Fui solicitado a descobrir quando um usuário fez logon no sistema na última semana. Agora os logs de auditoria no Windows devem conter todas as informações de que preciso. Eu acho que se eu procurar por ID de evento 4624 (Logon Success) com um usuário específico do AD e Logon tipo 2 (Logon interativo) ele deve fornecer as informações necessárias, mas durante a vida útil não consigo descobrir como realmente filtrar o log de eventos para obter essas informações. É possível dentro do Visualizador de Eventos ou você precisa usar uma ferramenta externa para analisar este nível?

Eu encontrei o link que parecia para fazer parte do que eu precisava. Eu modifiquei ligeiramente para apenas me dar os últimos 7 dias no valor. Abaixo está o XML que eu tentei. 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

Isso só me deu os últimos 7 dias, mas o resto não funcionou.

Alguém pode me ajudar com isso?

EDITAR

Graças às sugestões de Lucky Luke, tenho feito progressos. O abaixo é a minha consulta atual, embora, como explicarei, não esteja retornando nenhum resultado. 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

Como eu mencionei, ele não estava retornando nenhum resultado, então eu tenho mexido com isso um pouco. Eu posso obtê-lo para produzir os resultados corretamente até adicionar na linha LogonType. Depois disso, não retorna nenhum resultado. Alguma idéia de por que isso pode ser?

EDIT 2

Atualizei a linha LogonType para o seguinte: 

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

Isso deve capturar os Logons da Estação de Trabalho, bem como os Desbloqueios da Estação de Trabalho, mas ainda assim não recebo nada. Em seguida, modifico-o para procurar outros tipos de logon, como 3 ou 8, que ele encontra em abundância. Isso me leva a acreditar que a consulta funciona corretamente, mas, por algum motivo, não há entradas nos Logs de Eventos com Tipo de Logon igual a 2 e isso não faz sentido para mim. É possível desligar isso?

    
por Trido 03.02.2014 / 02:18

2 respostas

14

Você está no caminho certo - um dos erros em sua consulta é o espaço em 'Logon Type', que deve ser apenas 'LogonType'.

Colei uma consulta abaixo que acabei de confirmar trabalhos. É um pouco simplificado, mas você entendeu. Ele mostra todos os 4624 eventos com o tipo de logon 2, do usuário 'john.doe'. 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

Você pode encontrar mais informações sobre consultas XML no visualizador de eventos aqui: link .

Você pode consultar eventos a partir da linha de comando com wevtutil.exe: link .

    
por 04.02.2014 / 01:19
1

Eu encontrei essa pergunta e tive que trabalhar um pouco para analisar o conteúdo, a partir da resposta aceita e das atualizações das perguntas, para obter uma solução funcional. Pensei em postar aqui uma sintaxe completa de consulta de trabalho para referência futura: 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

A consulta acima deve funcionar para restringir os eventos de acordo com os seguintes parâmetros:

  • Eventos no log de segurança.
  • com o ID do evento 6424
  • Ocorrendo nos últimos 30 dias.
  • Associado ao usuário john.doe.
  • com o LogonType 10.

Você pode alterar os LogonTypes no filtro alterando (Data='10') no código acima. Por exemplo, você pode querer fazer (Data='2') ou (Data='10' or Data='2') .

    
por 02.06.2014 / 19:11

Tags

Porta de Ethernet plugue plástico bloqueando o acesso à porta no servidor Ativando o BIOS de virtualização de hardware; qualquer coisa para ter cuidado?