Filtro dei registri di sicurezza per utente e tipo di accesso

17

Mi è stato chiesto di scoprire quando un utente ha effettuato l'accesso al sistema nell'ultima settimana. Ora i log di controllo in Windows dovrebbero contenere tutte le informazioni di cui ho bisogno. Penso che se cerco ID evento 4624 (accesso riuscito) con un utente AD specifico e accesso tipo 2 (accesso interattivo) che dovrebbe darmi le informazioni di cui ho bisogno, ma per tutta la vita non riesco a capire come filtrare effettivamente il registro eventi per ottenere queste informazioni. È possibile all'interno del Visualizzatore eventi o è necessario utilizzare uno strumento esterno per analizzarlo a questo livello?

Ho trovato http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html che sembrava essere parte di ciò di cui avevo bisogno. L'ho modificato leggermente per darmi solo gli ultimi 7 giorni. Di seguito è riportato l'XML che ho provato.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

Mi ha dato solo gli ultimi 7 giorni, ma il resto non ha funzionato.

Qualcuno può aiutarmi con questo?

MODIFICARE

Grazie ai suggerimenti di Lucky Luke ho fatto progressi. Quella che segue è la mia domanda attuale, anche se come spiegherò non sta restituendo alcun risultato.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

Come ho già detto, non è stato restituito alcun risultato, quindi ho fatto un po 'di confusione. Posso ottenerlo per produrre correttamente i risultati fino a quando non aggiungo nella riga LogonType. Successivamente, non restituisce risultati. Qualche idea sul perché questo potrebbe essere?

MODIFICA 2

Ho aggiornato la riga LogonType al seguente:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

Questo dovrebbe catturare gli accessi alle workstation e gli sblocchi delle workstation, ma non ottengo ancora nulla. Quindi lo modifico per cercare altri tipi di accesso come 3 o 8 di cui trova molti. Questo mi porta a credere che la query funzioni correttamente, ma per qualche motivo non ci sono voci nei registri eventi con tipo di accesso uguali a 2 e questo non ha senso per me. È possibile disattivarlo?

windows-server-2008  eventviewer  security  windows-event-log 
Trido
fonte
Sembra che la query funzioni se si ottengono risultati con altri tipi di accesso. È possibile che sia necessario esaminare altri tipi di accesso, in particolare il tipo di accesso 11 che viene spesso utilizzato al posto del tipo di accesso 2 su Vista e versioni successive. Puoi vedere tutti i tipi di accesso qui: myeventlog.com/search/show/799 . Scommetto che i tuoi accessi sono di tipo 11. Fammi sapere.
Lucky Luke,
È interessante notare che l'unico risultato non 3 che ottengo è 8 che ho identificato. Per qualche motivo non ci sono 2, 7 o 11 che mi aspetterei di vedere.
Trido,
Hai verificato le tue impostazioni di controllo nella politica di sicurezza locale (o politica di dominio se fa parte di un dominio) per assicurarti che tutti gli accessi vengano controllati? Fammi sapere se hai bisogno di maggiori informazioni.
Lucky Luke,
Questo era davvero il problema. Sono entrato in Criteri di gruppo ed è stato disattivato.
Trido,
Interessante. Quale impostazione esatta hai attivato? La cosa un po 'strana è che stavi vedendo altri eventi di accesso, ma non gli accessi alla console. Ho avuto l'impressione che siano tutti configurati con la stessa impostazione.
Lucky Luke,

Risposte:

17

Sei sulla buona strada - uno degli errori nella tua query è lo spazio in "Tipo di accesso", dovrebbe essere solo "Tipo di accesso".

Di seguito ho incollato una query che ho appena verificato i lavori. È un po 'semplificato ma hai capito. Mostra tutti i 4624 eventi con accesso di tipo 2, dall'utente 'john.doe'.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

Puoi trovare ulteriori informazioni sulle query XML nel Visualizzatore eventi qui: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event- viewer.aspx .

È possibile eseguire query sugli eventi dalla riga di comando con wevtutil.exe: http://technet.microsoft.com/en-us/magazine/dd310329.aspx .

Lucky Luke
fonte
Hmm, questo è strano. Quando l'ho eseguito, ho restituito 0 risultati. Anche quando semplifico la query solo per il tipo di accesso. Non capisco davvero perché non funzioni.
Trido,
Ho aggiornato la mia domanda con la mia attuale domanda e problema.
Trido,
Questo è esattamente ciò di cui avevo bisogno per scoprire chi si connetteva a uno dei miei server tramite RDP. Ho dovuto cambiare LogonType in '10' (e rimuovere il bit sul nome utente).
Charles Burge,
1

Ho trovato questa domanda e ho dovuto fare un po 'di lavoro per analizzare il contenuto, dalla risposta accettata e dagli aggiornamenti delle domande, per ottenere una soluzione funzionale. Ho pensato di pubblicare qui una sintassi di query completa e funzionante per riferimento futuro:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

La query sopra dovrebbe funzionare per restringere gli eventi in base ai seguenti parametri:

  • Eventi nel registro sicurezza.
  • Con ID evento 6424
  • Si è verificato negli ultimi 30 giorni.
  • Associato con l'utente john.doe.
  • Con LogonType 10.

È possibile modificare i LogonTypes nel filtro modificando (Data='10')il codice sopra. Ad esempio, potresti voler fare (Data='2')o (Data='10' or Data='2').

Iszi
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.