Saya telah diminta untuk mencari tahu kapan pengguna telah masuk ke sistem dalam minggu terakhir. Sekarang log audit di Windows harus berisi semua info yang saya butuhkan. Saya pikir jika saya mencari ID Peristiwa 4624 (Keberhasilan Masuk) dengan pengguna AD tertentu dan Tipe Masuk 2 (Interaktif Masuk) yang seharusnya memberi saya informasi yang saya butuhkan, tetapi untuk kehidupan saya, saya tidak tahu bagaimana sebenarnya menyaring Log Peristiwa untuk mendapatkan informasi ini. Apakah mungkin di dalam Peraga Peristiwa atau Anda perlu menggunakan alat eksternal untuk menguraikannya ke tingkat ini?
Saya menemukan http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html yang tampaknya menjadi bagian dari apa yang saya butuhkan. Saya memodifikasinya sedikit untuk hanya memberi saya nilai 7 hari terakhir. Di bawah ini adalah XML yang saya coba.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Itu hanya memberi saya 7 hari terakhir, tetapi sisanya tidak berhasil.
Adakah yang bisa membantu saya dengan ini?
EDIT
Berkat saran Lucky Luke saya telah membuat kemajuan. Di bawah ini adalah permintaan saya saat ini, meskipun seperti yang akan saya jelaskan itu tidak mengembalikan hasil apa pun.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Seperti yang saya sebutkan, itu tidak mengembalikan hasil, jadi saya sedikit mengacaukannya. Saya bisa mendapatkannya untuk menghasilkan hasil dengan benar sampai saya menambahkan di baris LogonType. Setelah itu, tidak mengembalikan hasil. Adakah yang tahu mengapa ini terjadi?
EDIT 2
Saya memperbarui baris LogonType sebagai berikut:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Ini harus menangkap Log Workstation dan juga Workstation Unlock, tapi saya masih tidak mendapatkan apa-apa. Saya kemudian memodifikasinya untuk mencari Tipe Masuk lainnya seperti 3, atau 8 yang ternyata banyak. Ini membuat saya percaya bahwa kueri berfungsi dengan benar, tetapi untuk beberapa alasan tidak ada entri dalam Log Peristiwa dengan Tipe Masuk yang sama dengan 2 dan ini tidak masuk akal bagi saya. Apakah mungkin untuk mematikan ini?
Jawaban:
Anda berada di jalur yang benar - salah satu kesalahan dalam kueri Anda adalah spasi di 'Jenis Logon', seharusnya hanya 'LogonType'.
Saya menyisipkan kueri di bawah ini yang baru saja saya verifikasi. Ini agak disederhanakan tetapi Anda mendapatkan idenya. Ini menunjukkan Anda semua 4624 acara dengan tipe masuk 2, dari pengguna 'john.doe'.
Anda dapat mengetahui lebih lanjut tentang kueri XML di penampil acara di sini: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event- viewer.aspx .
Anda dapat meminta acara dari baris perintah dengan wevtutil.exe: http://technet.microsoft.com/en-us/magazine/dd310329.aspx .
sumber
Saya menemukan pertanyaan ini dan harus melakukan sedikit pekerjaan untuk memilah-milah konten, dari jawaban yang diterima dan pembaruan pertanyaan, untuk mendapatkan solusi fungsional. Saya pikir saya akan memposting sintaks kueri yang berfungsi lengkap di sini untuk referensi di masa mendatang:
Kueri di atas harus berfungsi untuk mempersempit acara berdasarkan parameter berikut:
Anda dapat mengubah LogonTypes di filter dengan mengubah
(Data='10')
kode di atas. Misalnya, Anda mungkin ingin melakukan(Data='2')
atau(Data='10' or Data='2')
.sumber