Як я можу використовувати переглядач подій для підтвердження часу входу, відфільтрованого Користувачем?

Мені потрібно записати час роботи і час закінчення на роботі. Іноді я забуваю це зробити, і у мене була яскрава ідея, що перевірка журналу подій безпеки дозволить мені ретроспективно визначити свої часи.

На жаль, журнали набагато більші, ніж я думав, і знадобиться певний час, навіть щоб відобразитися в Event Viewer. Також я спробував фільтрувати журнали за датою та userid, але поки це не дало результатів.

Якщо припустити, що моя ідея здійсненна, чи може хтось переглядати те, що мені потрібно зробити, щоб отримати потрібну мені інформацію?

ОНОВЛЕННЯ:

Я дотримувався вказівок @surfasb і дійшов до того, що я бачу лише входи, однак деякі з них - це системи на рівні системи (тобто не для людини). Я хотів би бачити лише свої "фізичні" входи (у будні було б лише два-три такі події), а не всі інші речі.

Я спробував ввести своє ім’я користувача Windows у поле, як показано нижче, використовуючи обидва domain\usernameта просто, usernameале це просто фільтрує все. Чи можете ви допомогти?

Конфігурація за замовчуванням робить її досить безладним. Це відбувається тому, що Windows також відстежує будь-коли, коли вам доведеться увійти до мережевих комп'ютерів. Він також відстежує кожен раз, коли ваш обліковий запис комп'ютера, а не обліковий запис користувача, створює сеанс входу.

Ви повинні використовувати параметр входу в обліковий запис аудиту, а не параметр входу в аудит .

Події, які ви шукаєте, матимуть Повнокваліфіковане доменне ім’я вашого облікового запису. Наприклад, якщо ви не перебуваєте в домені, шуканий текст, який ви шукаєте, - це ім'я комп’ютера / імені_раху.

редагувати

Інша ідея - створити сценарії для входу та виходу з системи. Залежно від версії Windows 7, ви можете gpedit.mscстворити консоль групової політики.

Тоді вам просто знадобиться пакетний файл, який має команду logevent "My login/logoff event" -e 666. Ця подія відобразиться в Журналі програм

редагувати

Це буде простіше, якщо ви не в домені. Якщо ви переходите до пункту "Локальна безпека / Локальна політика / Параметри безпеки", знайдіть опцію "Аудит примусового ...". Я забув його ім'я. Але відключіть це. Це зробить журнали безпеки менш детальними, оскільки користувач, що входить у консоль, у деяких випадках має той самий ідентифікатор події. Деякі ідентифікатори подій, які потрібно шукати:

• Подія 4647 - це коли ви натискаєте вихід, перезапуск, кнопку вимкнення. Оновлення Windows, перезавантаження комп'ютера, також іноді спричиняє цю подію :(
• Подія 4648 - це коли процес (який включає в себе екран входу) використовує ваші явні облікові дані, а не сказати маркер, для входу. Сюди входить команда Runas і багато разів резервні програми.
• Подія 4800 - Коли ваша робоча станція заблокована, наприклад натискання клавіші WIN + L
• Подія 4801 - Коли ваша робоча станція розблокована

Як правило, ви можете отримати, використовуючи події 4647 та 4648. На жаль, це не є впевненим методом пожежі, оскільки є тисяча речей, які трапляються під час входу та реєстрації на комп’ютері.

Для цього варто, на роботі ми шукаємо сценарій входу для запуску та при виході, є дві програми, а також подія синхронізації, яку ми шукаємо як впевнені події пожежі.

Просте рішення:

1. Відкрийте подію або події, для яких ви хочете створити спеціальний вид.
2. Перемістіть вікно кудись, яке буде видимим (одна сторона екрана, другий монітор або роздрукуйте його)
3. Створіть новий вигляд та визначте, використовуючи параметри відкритих подій (наприклад, користувач, ключові слова, комп'ютер тощо). У цьому випадку користувачеві було N / A, тому я просто використав ідентифікатор комп'ютера та події (4648, а не 4624)
4. Змінивши параметри за потребою, збережіть.

Цей метод корисний для будь-якої події або набору подій, які ви бажаєте зареєструвати. Тут не потрібні складні завдання або програмне забезпечення сторонніх виробників.

У мене була та сама проблема, і мені вдалося її вирішити, виконавши наступні кроки:

A: Встановіть MyEventViewer (безкоштовно) та відкрийте список подій у цій програмі.

На жаль, я не знайшов, як відфільтрувати події за описом (і опис, де зберігається ім’я для входу) у MyEventViewer, але принаймні, але він відображає опис у головній таблиці.

B: Експортуйте цю таблицю в log1.txt

C: Використовуйте деяку розширену програму пошуку тексту для отримання часу входу для даного користувача.

Я використовував греп.

Це формат експортованих подій:

Тип журналу: безпека

Тип події: Успіх аудиту

Час: 10.12.2012 18:33:24

Ідентифікатор події: 680

Ім'я користувача: SYSTEM

Комп'ютер: РРР

Опис події: Спроба входу за адресою: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Обліковий запис для входу: XXX Source Workstation: YYY Код помилки: 0x0

=====================================================

=====================================================

Спочатку витягніть усі спроби входу користувачем XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Це дозволить відфільтрувати спроби входу за допомогою користувача XXX та надрукувати їх у log2.txt. -B 4 опція grep потрібна, оскільки інформація, яку ми шукаємо (час входу), зберігається на 4 рядки над рядком, що містить шаблон, який ми шукаємо (ім’я користувача).

D: Витягнути часи входу з log2.txt

$ grep "Time" log2.txt > log3.txt

Тепер log3.txt перераховує всі часи входу для даного користувача:

Час: 10.12.2012 14:12:32

Час: 7.12.2012 16:20:46

Час: 5.12.2012 19:22:45

Час: 5.12.2012 18:57:55

Простіше рішення, мабуть, існує, але я не зміг його знайти, тому це довелося зробити для мене трюк.

Спробуйте скористатися вкладкою фільтр XML і вкажіть наступне:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>