Mi è stato chiesto di scoprire quando un utente ha effettuato l'accesso al sistema nell'ultima settimana. Ora i log di controllo in Windows dovrebbero contenere tutte le informazioni di cui ho bisogno. Penso che se cerco ID evento 4624 (accesso riuscito) con un utente AD specifico e accesso tipo 2 (accesso interattivo) che dovrebbe darmi le informazioni di cui ho bisogno, ma per tutta la vita non riesco a capire come filtrare effettivamente il registro eventi per ottenere queste informazioni. È possibile all'interno del Visualizzatore eventi o è necessario utilizzare uno strumento esterno per analizzarlo a questo livello?
Ho trovato http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html che sembrava essere parte di ciò di cui avevo bisogno. L'ho modificato leggermente per darmi solo gli ultimi 7 giorni. Di seguito è riportato l'XML che ho provato.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Mi ha dato solo gli ultimi 7 giorni, ma il resto non ha funzionato.
Qualcuno può aiutarmi con questo?
MODIFICARE
Grazie ai suggerimenti di Lucky Luke ho fatto progressi. Quella che segue è la mia domanda attuale, anche se come spiegherò non sta restituendo alcun risultato.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Come ho già detto, non è stato restituito alcun risultato, quindi ho fatto un po 'di confusione. Posso ottenerlo per produrre correttamente i risultati fino a quando non aggiungo nella riga LogonType. Successivamente, non restituisce risultati. Qualche idea sul perché questo potrebbe essere?
MODIFICA 2
Ho aggiornato la riga LogonType al seguente:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Questo dovrebbe catturare gli accessi alle workstation e gli sblocchi delle workstation, ma non ottengo ancora nulla. Quindi lo modifico per cercare altri tipi di accesso come 3 o 8 di cui trova molti. Questo mi porta a credere che la query funzioni correttamente, ma per qualche motivo non ci sono voci nei registri eventi con tipo di accesso uguali a 2 e questo non ha senso per me. È possibile disattivarlo?