Мене попросили дізнатися, коли користувач увійшов до системи за останній тиждень. Тепер журнали аудиту в Windows повинні містити всю необхідну мені інформацію. Я думаю, якщо я шукаю ID події 4624 (Logon Success) у конкретного користувача AD та Logon Type 2 (Interactive Logon), він повинен дати мені потрібну інформацію, але я не можу зрозуміти, як насправді фільтрувати журнал подій, щоб отримати цю інформацію. Чи це можливо в "Переглядачі подій" або вам потрібно використовувати зовнішній інструмент для розбору його до цього рівня?
Я знайшов http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html, який, здавалося, є частиною того, що мені потрібно. Я трохи змінив це, щоб дати мені лише цінні 7 днів. Нижче представлений XML, який я спробував.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Це дало мені лише останні 7 днів, але решта не вийшла.
Хтось може мені допомогти у цьому?
EDIT
Завдяки пропозиціям Лаки Луки я просунувся. Нижче - мій поточний запит, хоча, як я поясню, він не дає результатів.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Як я вже згадував, це не дало жодних результатів, тому я трохи поплутався з цим. Я можу змусити її правильно отримати результати, поки не додаю рядок LogonType. Після цього він не дає результатів. Будь-яка ідея, чому це може бути?
EDIT 2
Я оновив рядок LogonType до наступного:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Це повинно захоплювати логотипи Workstation, а також Workstation Unlocks, але я все одно нічого не отримую. Потім я модифікую його для пошуку інших типів входу, таких як 3, або 8, яких він знаходить в достатній кількості. Це змушує мене вважати, що запит працює правильно, але чомусь у Журналах подій із типом входу в систему немає рівних 2, і це не має для мене сенсу. Чи можна це вимкнути?