Como faço para contar com êxito autenticação de usuário de domínio (Log Ins) com LogParser

Os W3SVC1 logs indicarão o status HTTP das solicitações. Sua autenticação é registrada no log de eventos Security . Logons de rede bem-sucedidos registram a ID de Evento 540, Tipo 3.

Crie um arquivo SQL simples para esta consulta chamada query.sql :

SELECT
    TimeGenerated,
    EventID,
    EXTRACT_TOKEN(Strings,0,'|') AS User,
    EXTRACT_TOKEN(Strings,3,'|') AS Type
FROM
    Security
WHERE 
    (EventID = 540) AND (Type LIKE '3')
ORDER BY
    TimeGenerated
DESC

E então podemos gerar um DataGrid para dar uma olhada rápida:

LogParser.exe file:query.sql -o:DATAGRID -i:EVT

Observe que os logons de rede também incluem autenticações de acesso a arquivos compartilhados e impressoras. Se o seu servidor IIS estiver compartilhando impressoras ou arquivos fora do IIS, você pode precisar de um método diferente para coletar esses dados.

@dexter Mas os registros da web rastreiam a autenticação. Se você obtiver um 200 com um domínio \ usuário, será autenticado com êxito nesse elemento. Você pode não estar autorizado a fazer nada, mas você se autenticou no servidor da Web com êxito.

É provável que, nos registros do W3SVC, você veja 200 bem sucedidos depois de um 401 em todos os elementos de uma página (imagens, javascript, etc.), portanto isso não é uma contagem útil, pois uma única página pode mostrar 10 + autenticações para cada usuário. Mas, se você reduzisse o log com o analisador de log a um elemento específico, digamos index.aspx, isso informaria quantas autenticações bem-sucedidas seriam executadas nesse arquivo e você poderia ignorar o restante das cargas nessa página.

Você também pode querer ignorar o status https e apenas observar domínio \ usuário em um determinado arquivo. Dessa forma, você obteria autenticações que aparecem como outra coisa (ex. Erro 500) em que a autenticação funcionou, mas algo na página falhou.