지난 주에 사용자가 시스템에 로그온 한시기를 확인하라는 요청을 받았습니다. 이제 Windows의 감사 로그에 필요한 모든 정보가 포함되어야합니다. 특정 AD 사용자와 로그온 유형 2 (대화식 로그온)를 사용하여 이벤트 ID 4624 (로그온 성공)를 검색하면 필요한 정보를 얻을 수 있지만 실제로는 필터링하는 방법을 알 수 없습니다. 이 정보를 얻기 위해 이벤트 로그. 이벤트 뷰어 내에서 가능합니까, 아니면이 레벨로 구문 분석하기 위해 외부 도구를 사용해야합니까?
나는 내가 필요한 것의 일부인 것처럼 보이는 http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html 을 발견 했습니다. 지난 7 일 동안의 가치 만 제공하기 위해 약간 수정했습니다. 아래는 내가 시도한 XML입니다.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
지난 7 일 동안 만 나왔지만 나머지는 작동하지 않았습니다.
누구든지 이것을 도울 수 있습니까?
편집하다
Lucky Luke의 제안에 힘 입어 저는 진전을 이루었습니다. 아래는 현재 쿼리이지만 결과를 반환하지 않는다고 설명합니다.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
언급했듯이 결과가 반환되지 않아 약간 혼란스러워했습니다. LogonType 줄에 추가 할 때까지 결과를 올바르게 생성 할 수 있습니다. 그 후에는 결과가 반환되지 않습니다. 이것이 왜 그런지 아십니까?
편집 2
LogonType 줄을 다음과 같이 업데이트했습니다.
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
워크 스테이션 잠금 및 워크 스테이션 잠금을 캡처해야하지만 여전히 아무것도 얻지 못합니다. 그런 다음 3 또는 8과 같은 다른 로그온 유형을 검색하도록 수정합니다. 이것은 쿼리가 올바르게 작동한다고 믿게하지만 어떤 이유로 든 로그온 유형이 2 인 이벤트 로그에 항목이 없으며 이는 의미가 없습니다. 이 기능을 해제 할 수 있습니까?