사용자 및 로그온 유형별로 보안 로그 필터링

지난 주에 사용자가 시스템에 로그온 한시기를 확인하라는 요청을 받았습니다. 이제 Windows의 감사 로그에 필요한 모든 정보가 포함되어야합니다. 특정 AD 사용자와 로그온 유형 2 (대화식 로그온)를 사용하여 이벤트 ID 4624 (로그온 성공)를 검색하면 필요한 정보를 얻을 수 있지만 실제로는 필터링하는 방법을 알 수 없습니다. 이 정보를 얻기 위해 이벤트 로그. 이벤트 뷰어 내에서 가능합니까, 아니면이 레벨로 구문 분석하기 위해 외부 도구를 사용해야합니까?

나는 내가 필요한 것의 일부인 것처럼 보이는 http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html 을 발견 했습니다. 지난 7 일 동안의 가치 만 제공하기 위해 약간 수정했습니다. 아래는 내가 시도한 XML입니다.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

지난 7 일 동안 만 나왔지만 나머지는 작동하지 않았습니다.

누구든지 이것을 도울 수 있습니까?

편집하다

Lucky Luke의 제안에 힘 입어 저는 진전을 이루었습니다. 아래는 현재 쿼리이지만 결과를 반환하지 않는다고 설명합니다.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

언급했듯이 결과가 반환되지 않아 약간 혼란스러워했습니다. LogonType 줄에 추가 할 때까지 결과를 올바르게 생성 할 수 있습니다. 그 후에는 결과가 반환되지 않습니다. 이것이 왜 그런지 아십니까?

편집 2

LogonType 줄을 다음과 같이 업데이트했습니다.

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

워크 스테이션 잠금 및 워크 스테이션 잠금을 캡처해야하지만 여전히 아무것도 얻지 못합니다. 그런 다음 3 또는 8과 같은 다른 로그온 유형을 검색하도록 수정합니다. 이것은 쿼리가 올바르게 작동한다고 믿게하지만 어떤 이유로 든 로그온 유형이 2 인 이벤트 로그에 항목이 없으며 이는 의미가 없습니다. 이 기능을 해제 할 수 있습니까?

— 트리도
소스

다른 로그온 유형으로 결과를 얻는 경우 쿼리가 작동하는 것 같습니다. Vista 이상의 로그온 유형 2 대신 자주 사용되는 로그온 유형 11과 같은 다른 로그온 유형을 살펴볼 수 있습니다. 당신은 여기에 모든 로그온 유형을 볼 수 myeventlog.com/search/show/799를 . 귀하의 로그온 유형은 11입니다. 알려주세요.

— Lucky Luke

흥미롭게도 내가 얻는 3 가지 이외의 결과는 내가 찾은 8입니다. 어떤 이유로 든 내가 볼 것으로 예상되는 2, 7 또는 11이 없습니다.

— Trido

모든 로그온이 감사되도록 로컬 보안 정책 (또는 도메인의 일부인 경우 도메인 정책)에서 감사 설정을 확인 했습니까? 더 많은 정보가 필요하면 알려주십시오.

— Lucky Luke

이것은 실제로 문제였습니다. 그룹 정책에 들어가서 꺼졌습니다.

— Trido

흥미 롭군 어느 정확한 설정을 켰습니까? 이상한 점은 콘솔 로그온이 아닌 다른 로그온 이벤트를보고 있다는 것입니다. 나는 그들이 모두 같은 설정으로 구성되어 있다는 인상을 받았습니다.

— Lucky Luke

답변:

당신은 올바른 길을 가고 있습니다-쿼리에서 실수 중 하나는 'Logon Type'의 공간입니다. 단지 'LogonType'이어야합니다.

방금 작품을 확인한 쿼리를 아래에 붙여 넣었습니다. 약간 단순화되었지만 아이디어를 얻었습니다. 사용자 'john.doe'의 로그온 유형 2 인 모든 4624 이벤트를 표시합니다.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

이벤트 뷰어에서 XML 쿼리에 대한 자세한 내용은 여기 ( http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-)를 참조 하십시오. viewer.aspx .

wevtutil.exe ( http://technet.microsoft.com/en-us/magazine/dd310329.aspx) 를 사용하여 명령 행에서 이벤트를 조회 할 수 있습니다 .

— 럭키 루크
소스

흠, 이것은 이상하다. 그것을 실행하면 0 개의 결과가 반환됩니다. 쿼리를 로그온 유형으로 단순화하더라도. 왜 작동하지 않는지 이해하지 못합니다.

— Trido

질문을 현재 쿼리 및 문제로 업데이트했습니다.

— Trido

이것이 RDP를 통해 내 서버 중 하나에 연결된 사람을 찾는 데 필요한 것입니다. 방금 LogonType을 '10'으로 변경하고 사용자 이름에 대한 비트를 제거해야했습니다.

— Charles Burge

나는이 질문을 발견하고 수용 된 답변과 질문 업데이트에서 내용을 함께 구문 분석하여 기능적인 솔루션을 얻는 데 약간의 노력을 기울여야했습니다. 나중에 참조 할 수 있도록 완전한 작동 쿼리 구문을 게시 할 것으로 생각했습니다.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

위의 쿼리는 다음 매개 변수에 따라 이벤트 범위를 좁히기 위해 작동해야합니다.

보안 로그의 이벤트
이벤트 ID 6424
지난 30 일 이내에 발생합니다.
사용자 john.doe와 관련이 있습니다.
LogonType 10 사용

(Data='10')위의 코드를 변경하여 필터에서 LogonTypes를 변경할 수 있습니다 . 예를 들어 (Data='2')또는을 원할 수 있습니다 (Data='10' or Data='2').

— 이지
소스