Come posso utilizzare il Visualizzatore eventi per confermare i tempi di accesso filtrati per Utente?

15

Sono tenuto a registrare i miei orari di inizio e fine al lavoro. Di tanto in tanto mi dimentico di farlo e ho avuto una brillante idea che il controllo del registro degli eventi di sicurezza mi avrebbe permesso di accertare retrospettivamente i miei tempi.

Sfortunatamente, i registri sono molto più grandi di quanto pensassi e impiegano un po 'di tempo a essere visualizzati nel Visualizzatore eventi. Inoltre, ho provato a filtrare i registri per data e userid, ma finora questo non ha prodotto risultati.

Supponendo che la mia idea sia fattibile, qualcuno può dare un'occhiata a ciò che dovrei fare per recuperare le informazioni di cui ho bisogno?

AGGIORNARE:

Ho seguito le istruzioni di @surfasb e ho ottenuto il punto in cui posso vedere solo gli accessi, tuttavia alcuni di questi sono accessi a livello di sistema (ovvero non umani). Vorrei vedere solo i miei accessi "fisici" (ci sarebbero solo due o tre di questi eventi nei giorni feriali) e non tutte le altre cose.

Ho provato a mettere il mio nome utente di Windows nel campo come mostrato di seguito usando entrambi domain\usernamee solo usernamema questo filtra tutto. Potete aiutarmi?

inserisci qui la descrizione dell'immagine

windows-7  security  logging  event-log  event-viewer 
5arx
fonte

Risposte:

10

La configurazione predefinita lo rende piuttosto disordinato. Questo perché Windows traccia anche ogni volta che devi accedere ai computer di rete. Tiene inoltre traccia ogni volta che il tuo account computer, non l'account utente, crea una sessione di accesso.

È necessario utilizzare l' opzione di accesso dell'account di controllo e non l' opzione di accesso di controllo .

Gli eventi che stai cercando avranno il nome di dominio completo del tuo account. Ad esempio, se non ci si trova in un dominio, il testo di ricerca che si sta cercando è nome_computer / nome_account.

modificare

Un'altra idea è quella di creare script di accesso e disconnessione. A seconda dell'edizione di Windows 7, è possibile utilizzare gpedit.mscper visualizzare la Console Criteri di gruppo.

Quindi avrai solo bisogno di un file batch con il comando logevent "My login/logoff event" -e 666. Questo evento verrà visualizzato nel registro dell'applicazione

modificare

Questo sarà più semplice se non sei su un dominio. Se vai in Sicurezza locale / Politiche locali / Opzioni di sicurezza, cerca l'opzione "Forza controllo ...". Ho dimenticato il nome. Ma disabilitalo. Ciò renderà i verbali di sicurezza meno dettagliati, poiché un utente che accede alla console, in alcuni casi, condivide lo stesso ID evento. Alcuni ID evento che desideri cercare:

  • Evento 4647 - questo è quando si preme il pulsante di disconnessione, riavvio, spegnimento. L'aggiornamento di Windows che riavvia il computer a volte attiva anche questo evento :(
  • Evento 4648: in questo caso un processo (che include la schermata di accesso) utilizza le credenziali esplicite, anziché dire un token, per accedere. Ciò include il comando Runas e molte volte programmi di backup.
  • Evento 4800 - Quando la workstation è bloccata, come premere WIN + L
  • Evento 4801 - Quando la workstation è sbloccata

Generalmente, puoi ottenere utilizzando gli eventi 4647 e 4648. Sfortunatamente non esiste un metodo di attivazione sicuro poiché ci sono migliaia di cose che accadono quando accedi e disconnetti il ​​tuo computer.

Per questo vale la pena, al lavoro, cercare lo script di accesso da attivare e alla disconnessione, ci sono due programmi e un evento di sincronizzazione che cerchiamo come eventi sicuri.

surfasb
fonte
Grazie per la risposta. Potresti approfondire un po 'di più, per favore? Sono nuovo nel mondo oscuro dell'amministrazione del sistema Win7 :-(
5arx
Non ho idea di dove dovrei iniziare. "Accendi il computer"?
surfasb,
Ahem. Puoi tranquillamente supporre che sono riuscito a filtrare i registri del Visualizzatore eventi ...
5arx
Vai in Opzioni di sicurezza locali e attiva Controlla account di accesso. Ack. Modificherò il mio post tra un'ora qui. . .
surfasb,
Ho aggiunto alcuni eventi utili in una modifica. Spero che aiuti.
surfasb,
1

Soluzione semplice:

  1. Apri l'evento o gli eventi per i quali desideri creare una vista personalizzata.
  2. Sposta la finestra da qualche parte che sarà visibile (un lato dello schermo, un secondo monitor o stampalo)
  3. Crea una nuova vista e definisci utilizzando i parametri dell'evento aperto (ad es .: Utente, Parole chiave, Computer, ecc.) In questo caso, l'utente era N / D, quindi ho appena usato il Computer e l'ID evento (4648, non 4624)
  4. Dopo aver modificato i parametri secondo necessità, salvare.

Questo metodo è utile per qualsiasi evento o serie di eventi che si desidera registrare. Non richiede attività complesse o software di terze parti.

applephx
fonte
0

Ho avuto lo stesso problema e sono riuscito a risolverlo usando questi passaggi:

A: Installa MyEventViewer (freeware) e apri l'elenco degli eventi in questo programma.

Sfortunatamente, non ho trovato come filtrare gli eventi per descrizione (e la descrizione è dove è memorizzato il nome di accesso) in MyEventViewer, ma almeno mostra la descrizione nella tabella principale.

B: Esporta questa tabella in log1.txt

C: utilizzare un programma di ricerca di testo avanzato per estrarre i tempi di accesso per un determinato utente.

Ho usato grep.

Questo è il formato degli eventi esportati:

Tipo di registro: Sicurezza

Tipo di evento: verifica riuscita

Tempo: 10.12.2012 18:33:24

ID evento: 680

Nome utente: SYSTEM

Computer: AAA

Descrizione evento: Tentativo di accesso effettuato da: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Account di accesso: Stazione di lavoro di origine XXX: AAA Codice errore: 0x0

==================================================

==================================================

Estrarre innanzitutto tutti i tentativi di accesso da parte dell'utente XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Ciò filtrerà i tentativi di accesso dell'utente XXX e lo stamperà su log2.txt. -B L'opzione 4 grep è necessaria perché le informazioni che stiamo cercando (tempo di accesso) sono memorizzate 4 righe sopra la riga che contiene lo schema che stiamo cercando (nome utente).

D: estrarre i tempi di accesso da log2.txt

$ grep "Time" log2.txt > log3.txt

Ora log3.txt elenca tutti i tempi di accesso per un determinato utente:

Tempo: 10.12.2012 14:12:32

Tempo: 7.12.2012 16:20:46

Tempo: 5.12.2012 19:22:45

Tempo: 5.12.2012 18:57:55

Probabilmente esiste una soluzione più semplice ma non sono stato in grado di trovarla, quindi questo ha dovuto fare al caso mio.

celicni
fonte
0

Prova a utilizzare la scheda Filtro XML e specifica quanto segue:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Janis S.
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.