Mengukur waktu login pengguna Windows 7

Saya telah diminta oleh klien untuk menghitung waktu login rata-rata untuk mesin dan pengguna. Sejauh ini saya telah menemukan bahwa event mencatat beberapa boot yang membutuhkan waktu lebih lama daripada ambang batas yang ditetapkan oleh kunci yang ditemukan di:

HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Boot

Tetapi kunci tampaknya dikunci sehingga saya tidak dapat mengeditnya untuk membuat ambang batas lebih rendah untuk memastikan logging setiap boot. Apakah ada metode untuk menemukan waktu login untuk setiap login yang cukup verbose untuk memberi tahu pengguna yang masuk dan kemungkinan informasi lebih rinci, ini juga harus cukup ringan untuk dijalankan pada setiap login dan tidak menimbulkan efek yang terlihat bagi pengguna. .

Saya baru-baru ini diminta untuk melakukan hal yang sangat mirip tetapi untuk memasukkan waktu boot dan login dan memungkinkan untuk referensi sejarah. jadi skrip PowerShell di bawah ini melakukan hal berikut:

1. meraih beberapa variabel lingkungan
2. mendapat cap waktu \ tanggal untuk 4 entri log peristiwa yang berbeda. Yang ke-2 dan ke-4 ini bukan pengukuran yang tepat tetapi setelah penelitian yang cukup luas, pemecahan masalah dan pengujian mereka sangat dekat dan dari apa yang saya lihat, pilihan terbaik.
3. menghitung perbedaan antara 4 acara ini
4. mengisi semua angka ke dalam tabel SQL sederhana [Anda bisa beradaptasi untuk menyalurkan angka menjadi apa pun yang Anda inginkan tentu saja]

Jadi skrip dimaksudkan untuk dijalankan melalui tugas yang dijadwalkan atau pada beberapa jadwal jika Anda memiliki SCCM mungkin (tidak selama logon agar tidak mengubah log masuk sama sekali). yang menyenangkan adalah Anda dapat mengubah PCname menjadi hal lain untuk menjalankannya dari PC Anda sendiri dan mendapatkan data dari komputer jarak jauh (meskipun nama pengguna akan muncul sebagai milik Anda) untuk memecahkan masalah dan memverifikasi nomor.

Saya mengambil langkah lain dan menggunakan SharePoint untuk membuat daftar data eksternal (menggunakan BCS) sehingga mereka memiliki GUI front end yang bagus. Script di bawah ini, saya telah meninggalkan sebagian besar komentar yang saya gunakan saat menulis:

$USER = $env:username.ToUpper()
$COMPUTER = $env:computername.ToUpper()
$Current_Time = Get-Date
$PCname = ''
$addedtime = 0

#1. get event time of last OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (Level=4 or Level=0) and (EventID=12)]]</Select>
  </Query>
</QueryList>
'@
$OSLoadTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host $PCname
#Write-Host "1. Last System Boot @ " $OSLoadTime

#2. Get event time of Time-Service [pre-Ctrl+Alt-Del] after latest OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Time-Service'] and (Level=4 or Level=0) and (EventID=35)]]</Select>
  </Query>
</QueryList>
'@
$CtrlAltDelTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host "2. Time-sync after Boot @ " $CtrlAltDelTime
#get minutes (rounded to 1 decimal) between OS load time and 1st load of GPOs
$BootDuration = "{0:N1}" -f ((($CtrlAltDelTime - $OSLoadTime).TotalSeconds + $addedtime)/60)

#3. get event time of 1st successful logon
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=7001)]]</Select>
  </Query>
</QueryList>
'@
$LogonDateTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML -ErrorAction SilentlyContinue).timecreated

If ($LogonDateTime) { 
    #Write-Host "3. Successful Logon @ " $LogonDateTime 
    } 
    Else {
    #Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white
    #Write-Host $PCname "has not logged back in." -foregroundcolor red -BackgroundColor white
    Exit
    }
#Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white

#4. Get Win License validated after logon (about same time as explorer loads)
$filterXML = @'
<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=4101)]]</Select>
  </Query>
</QueryList>
'@
$DesktopTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
$LogonDuration = "{0:N1}" -f ((($DesktopTime - $LogonDateTime).TotalSeconds + $addedtime)/60)
#Write-Host "4. WinLicVal after Logon @ " $DesktopTime
#Write-Host "Duration of Logon = " $LogonDuration "minutes" -foregroundcolor blue -BackgroundColor white

#START SQL Injection Section
[void][reflection.assembly]::LoadWithPartialName("Microsoft.SqlServer.Smo")

$sqlServer = "SQLserver01"
$dbName = "BootUpTimes"
$tbl = "tblBootUpTimes"
#$srv = New-Object Microsoft.SqlServer.Management.Smo.Server $sqlServer
#$db = $srv.databases[$dbName]
#$conn = New-Object System.Data.SqlClient.SqlConnection("Data Source=$sqlServer;Initial Catalog=$dbName; Integrated Security=SSPI")
$conn = New-Object System.Data.SqlClient.SqlConnection("server=$sqlServer;database=$dbName;Password=plaintext;User Id=BootUpTimes")
$conn.Open()
$cmd = $conn.CreateCommand()
$cmd.CommandText = "INSERT INTO $tbl VALUES ('$Current_Time','$USER','$COMPUTER','$OSLoadTime','$CtrlAltDelTime','$BootDuration','$LogonDateTime','$DesktopTime','$LogonDuration')"
Try
{
$null = $cmd.ExecuteNonQuery()
}
Catch
{
}
$conn.Close()

Di bagian SQL terakhir ini ada komentar beberapa baris yang menawarkan metode lain (berbasis keamanan) untuk dimasukkan ke dalam SQL tanpa perlu kata sandi dalam plaintext.

Saya tidak yakin mengapa ada orang yang berpikir bahwa skrip akan membantu Anda menentukan waktu masuk (setelah semua Anda tidak dapat menjalankan skrip sampai seseorang masuk, dan menarik waktu tidak akan membantu karena waktu melayang tentu akan menyebabkan pelaporan yang salah - yang juga tidak akan diperbaiki hingga pemrosesan dimulai. Alat yang saya sarankan Anda gunakan adalah alat xperf dari toolkit kinerja. Anda ingin melihat waktu explorerinit untuk total waktu log masuk. lihat Analisis Kinerja Transisi Windows Aktif / Nonaktif Windows untuk penjelasan terperinci tentang apa yang terjadi dari boot ke desktop. Lihat Alat Analisis Kinerja Windows untuk mendapatkan xperf dan xbootmgr dari tempat yang sesuai.

/superuser/250267/how-to-diagnose-slow-booting-or-logon-in-windows-7

Utas ini menunjukkan cara "Microsoft" untuk boot diag menggunakan Alat Analisis Kinerja Windows

Prosedur yang didokumentasikan dengan sangat baik dari Microsoft pada "On / Off Transition Performance" alias menghidupkan atau mematikan Windows: http://msdn.microsoft.com/en-us/windows/hardware/gg463386.aspx

Dengan menggunakan alat resmi ini, Anda dapat memberikan jawaban resmi kepada klien Anda. Jauh lebih unggul daripada mencoba menggunakan skrip, menurut saya. Mungkin sedikit berlebihan jika kebutuhan Anda mendasar.

Juga dari utas itu, jangan lewatkan situs web Solo jika kebutuhan Anda sangat mendasar :)

File batch berikut yang dieksekusi sebagai skrip logon akan memberi tahu Anda berapa lama dari otentikasi hingga shell siap.

set logfile=\\server\share\%computername%-%username%.log
net user /domain %username% | find /I "Last logon" > %logfile%
net time %logonserver% >> %logfile%

Saya belum menguji ini, dan saya sudah membuat beberapa asumsi.

1. Waktu masuk yang dikembalikan oleh net useradalah saat DC melakukan otentikasi. Saya percaya ini adalah masalahnya, tetapi tidak dapat menemukan sesuatu yang konkret untuk mendukungnya.
2. Skrip logon berjalan saat shell pengguna memuat. Ini tentu terjadi jika Anda menggunakan skrip logon NT4 lawas yang lama, sebagai lawan skrip logon yang ditentukan oleh kebijakan grup, tetapi karena skrip logon GPO dijalankan tersembunyi dari pengguna (secara default), saya belum pernah melihat waktu ketika mereka dieksekusi.
3. Nama pengguna Anda tidak mengandung spasi, Anda mungkin perlu memberi %username%tanda kutip jika ini masalahnya.
4. Anda memiliki bagian dunia yang dapat ditulisi di mana data akan dicatat ( \\server\sharedalam contoh di atas). Anda bisa mencatatnya secara lokal di mesin individual, tetapi itu akan membuat lebih sulit untuk memeriksa hasilnya.

Edit:

Saya telah memperbarui skrip untuk menangani penyimpangan waktu yang diperhatikan Jim. Waktu mulai masuk dari net useperintah diambil dari jam pengontrol domain autentikasi. The net timePerintah kini juga mengambil waktu dari server yang sama.