Bagaimana saya bisa menggunakan Peraga Peristiwa untuk mengonfirmasi waktu masuk yang difilter oleh Pengguna?

15

Saya diharuskan mencatat waktu mulai dan selesai di kantor. Kadang-kadang saya lupa untuk melakukan ini dan memiliki ide cemerlang bahwa memeriksa log peristiwa Keamanan akan memungkinkan saya untuk secara retrospektif memastikan waktu saya.

Sayangnya, log jauh lebih besar dari yang saya kira dan perlu waktu beberapa saat untuk ditampilkan di Event Viewer. Juga, saya mencoba memfilter log berdasarkan tanggal dan userid tetapi sejauh ini tidak membuahkan hasil.

Dengan asumsi ide saya layak, adakah yang bisa melangkah melalui apa yang perlu saya lakukan untuk mengambil informasi yang saya butuhkan?

MEMPERBARUI:

Saya mengikuti instruksi @surfasb dan mendapatkan titik di mana saya hanya dapat melihat login, namun beberapa di antaranya adalah login tingkat Sistem (yaitu non-manusia). Saya hanya ingin melihat login 'fisik' saya (hanya akan ada dua atau tiga acara seperti itu di hari kerja) dan tidak semua hal lainnya.

Saya sudah mencoba meletakkan nama pengguna Windows saya di bidang seperti yang ditunjukkan di bawah ini menggunakan keduanya domain\usernamedan hanya usernametetapi ini hanya menyaring semuanya. Bisakah kamu membantu?

masukkan deskripsi gambar di sini

5arx
sumber

Jawaban:

10

Konfigurasi default membuatnya agak berantakan. Ini karena Windows juga melacak kapan saja Anda harus masuk ke komputer jaringan. Itu juga melacak setiap kali akun komputer Anda, bukan akun pengguna, membuat sesi login.

Anda harus menggunakan opsi log masuk akun audit dan bukan opsi masuk log audit .

Peristiwa yang Anda cari akan memiliki Nama Domain Sepenuhnya Berkualitas akun Anda. Misalnya, jika Anda tidak berada di domain, teks pencarian yang Anda cari adalah computer_name / account_name.

sunting

Gagasan lain adalah membuat skrip login dan logoff. Bergantung pada edisi Windows 7 Anda, Anda dapat menggunakan gpedit.mscuntuk membuka Konsol Kebijakan Grup.

Maka Anda hanya perlu batchfile yang memiliki perintah logevent "My login/logoff event" -e 666. Acara ini akan muncul di Log Aplikasi

sunting

Ini akan lebih mudah jika Anda tidak berada di domain. Jika Anda masuk dalam Keamanan Lokal / Kebijakan Lokal / opsi Keamanan, cari opsi "Audit Angkatan ..." Saya lupa nama itu. Tapi nonaktifkan saja. Itu akan membuat log Keamanan kurang bertele-tele, karena pengguna masuk di konsol, dalam beberapa kasus, berbagi ID Peristiwa yang sama. Beberapa ID Peristiwa yang ingin Anda cari:

  • Acara 4647 - ini adalah ketika Anda menekan logoff, restart, tombol shutdown. Pembaruan Windows yang me-restart komputer Anda juga terkadang memicu peristiwa ini :(
  • Peristiwa 4648 - ini adalah saat proses (yang mencakup layar masuk) menggunakan kredensial eksplisit Anda, alih-alih mengatakan token, untuk masuk. Ini termasuk perintah Runas dan banyak kali, program cadangan.
  • Acara 4800 - Ketika workstation Anda terkunci, seperti menekan WIN + L
  • Acara 4801 - Saat workstation Anda tidak dikunci

Secara umum, Anda bisa mendapatkan dengan menggunakan peristiwa 4647 dan 4648. Sayangnya tidak ada metode api yang pasti karena ada ribuan hal yang terjadi ketika Anda masuk dan keluar komputer Anda.

Untuk itu layak, di tempat kerja, kami mencari skrip login untuk memecat dan saat logoff, ada dua program serta acara sinkronisasi yang kami cari sebagai peristiwa kebakaran.

surfasb
sumber
Terimakasih atas tanggapan Anda. Bisakah Anda menjelaskan lebih banyak? Saya baru
mengenal
Saya tidak tahu harus mulai dari mana. "Nyalakan komputer Anda"?
surfasb
Ahem. Anda dapat dengan aman berasumsi bahwa saya telah berhasil memfilter log Peraga Peristiwa ...
5arx
Buka di bawah Opsi Keamanan Lokal dan nyalakan Log Account Account. Ack. Saya akan mengedit posting saya dalam satu jam di sini. . .
surfasb
Saya menambahkan beberapa acara bermanfaat dalam edit. Saya harap itu membantu.
surfasb
1

Solusi sederhana:

  1. Buka acara atau acara yang ingin Anda buat tampilan khusus.
  2. Pindahkan jendela ke suatu tempat yang akan terlihat (satu sisi layar, monitor kedua, atau cetak)
  3. Buat tampilan baru dan tentukan menggunakan parameter acara yang terbuka (misalnya: Pengguna, Kata Kunci, Komputer, dll ....) Dalam hal ini, pengguna adalah Tidak Ada / jadi saya hanya menggunakan ID Komputer dan acara (4648, bukan 4624)
  4. Setelah memodifikasi parameter sesuai kebutuhan, simpan.

Metode ini berguna untuk setiap peristiwa atau rangkaian acara yang ingin Anda catat. Tidak memerlukan tugas kompleks atau perangkat lunak pihak ketiga.

applephx
sumber
0

Saya memiliki masalah yang sama, dan berhasil menyelesaikannya menggunakan langkah-langkah ini:

A: Instal MyEventViewer (freeware) dan buka daftar acara di program ini.

Sayangnya, saya belum menemukan cara memfilter acara berdasarkan deskripsi (dan deskripsi adalah tempat nama login disimpan) di MyEventViewer, tetapi setidaknya tetapi ini menampilkan deskripsi di tabel utama.

B: Ekspor tabel ini ke log1.txt

C: Gunakan beberapa program pencarian teks tingkat lanjut untuk mengekstrak waktu login untuk pengguna tertentu.

Saya menggunakan grep.

Ini adalah format acara yang diekspor:

Jenis Log: Keamanan

Jenis Peristiwa: Keberhasilan Audit

Waktu: 10.12.2012 18:33:24

ID Peristiwa: 680

Nama Pengguna: SYSTEM

Komputer: YYY

Deskripsi Acara: Upaya masuk oleh: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Akun masuk: XXX Sumber Workstation: YYY Kode Kesalahan: 0x0

==================================================

==================================================

Pertama-tama ekstrak semua upaya masuk oleh pengguna XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Ini akan memfilter upaya masuk oleh pengguna XXX dan mencetaknya ke log2.txt. -B 4 Opsi grep diperlukan karena info yang kami cari (waktu masuk) disimpan 4 baris di atas garis yang berisi pola yang kami cari (nama pengguna).

D: Ekstrak waktu login dari log2.txt

$ grep "Time" log2.txt > log3.txt

Sekarang log3.txt mencantumkan semua waktu login untuk pengguna yang diberikan:

Waktu: 10.12.2012 14:12:32

Waktu: 7.12.2012 16:20:46

Waktu: 5.12.2012 19:22:45

Waktu: 5.12.2012 18:57:55

Solusi yang lebih sederhana mungkin ada tetapi saya belum dapat menemukannya, jadi ini harus melakukan trik untuk saya.

celicni
sumber
0

Coba gunakan tab filter XML dan tentukan yang berikut:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Janis S.
sumber