이벤트 뷰어를 사용하여 사용자가 필터링 한 로그인 시간을 확인하려면 어떻게해야합니까?

직장에서 시작 및 종료 시간을 기록해야합니다. 때때로 나는 이것을하는 것을 잊어 버렸고 보안 이벤트 로그를 확인하면 회고 적으로 내 시간을 확인할 수 있다고 생각했습니다.

불행히도, 로그는 생각보다 훨씬 커서 이벤트 뷰어에 표시하는 데 시간이 걸립니다. 또한 날짜 및 사용자 ID별로 로그를 필터링하려고 시도했지만 지금까지 결과가 없습니다.

내 아이디어가 실현 가능하다고 가정하면 누구나 필요한 정보를 검색하기 위해 필요한 작업을 단계별로 수행 할 수 있습니까?

최신 정보:

@surfasb의 지시를 따르고 로그인 만 볼 수있는 지점을 얻었지만 그 중 일부는 시스템 수준 (즉 사람이 아닌) 로그인입니다. 내 '실제'로그인 (평일에는 2 ~ 3 회 정도의 이벤트 만 있음) 만보고 싶습니다.

모두를 사용하여 아래와 같이 나는 현장에서 내 Windows 사용자 이름을 넣어 해봤 domain\username정당하고 username있지만 이것은 단지 모두를 필터링합니다. 도와 줄 수 있습니까?

기본 구성은 다소 지저분합니다. 네트워크 컴퓨터에 로그인해야 할 때마다 Windows가 추적하기 때문입니다. 또한 사용자 계정이 아닌 컴퓨터 계정이 로그인 세션을 생성 할 때마다 추적합니다.

감사 로그온 옵션이 아닌 감사 계정 로그온 옵션을 사용해야합니다 .

찾고있는 이벤트에는 계정의 정규화 된 도메인 이름이 있습니다. 예를 들어, 도메인에 있지 않은 경우 찾고있는 검색 텍스트는 computer_name / account_name입니다.

편집하다

또 다른 아이디어는 로그인 및 로그 오프 스크립트를 작성하는 것입니다. Windows 7 버전에 따라 gpedit.msc그룹 정책 콘솔을 표시 하는 데 사용할 수 있습니다 .

그런 다음 명령이있는 배치 파일이 필요합니다 logevent "My login/logoff event" -e 666. 이 이벤트는 응용 프로그램 로그에 표시됩니다

편집하다

도메인이 아닌 경우 더 쉽습니다. 로컬 보안 / 로컬 정책 / 보안 옵션에서 "강제 감사 ..."옵션을 찾으십시오. 나는 그것의 이름을 잊었다. 그러나 비활성화하십시오. 콘솔에 로그인하는 사용자가 동일한 이벤트 ID를 공유하기 때문에 보안 로그가 덜 장황하게됩니다. 찾고자하는 일부 이벤트 ID :

• 이벤트 4647-로그 오프, 다시 시작, 종료 버튼을 눌렀을 때입니다. 컴퓨터를 다시 시작하는 Windows 업데이트에서도 때때로이 이벤트가 발생합니다.
• 이벤트 4648-프로세스 (로그인 화면 포함)가 토큰 대신 명시적인 자격 증명을 사용하여 로그인하는 경우입니다. 여기에는 Runas 명령과 많은 백업 프로그램이 포함됩니다.
• 이벤트 4800-WIN + L을 누르는 등 워크 스테이션이 잠긴 경우
• 이벤트 4801-워크 스테이션 잠금이 해제 된 경우

일반적으로 이벤트 4647 및 4648을 사용하여 얻을 수 있습니다. 불행히도 컴퓨터에 로그인하고 로그 오프 할 때 발생하는 수천 가지 작업이 있기 때문에 확실한 실행 방법은 없습니다.

가치가 있기 때문에 직장에서 우리는 로그인 스크립트를 찾고 로그 오프 할 때 두 가지 프로그램과 동기화 이벤트뿐만 아니라 확실한 화재 이벤트를 찾습니다.

간단한 해결책 :

1. 사용자 정의보기를 작성하려는 이벤트를여십시오.
2. 창을 보이는 곳으로 이동하십시오 (화면의 한쪽, 두 번째 모니터 또는 인쇄)
3. 열린 이벤트 매개 변수 (예 : 사용자, 키워드, 컴퓨터 등)를 사용하여 새보기를 작성하고 정의하십시오.이 경우 사용자는 N / A 였으므로 컴퓨터 및 이벤트 ID (4624가 아니라 4624가 아님)를 사용했습니다.
4. 필요에 따라 매개 변수를 수정 한 후 저장하십시오.

이 방법은 기록하려는 이벤트 또는 이벤트 세트에 유용합니다. 복잡한 작업이나 타사 소프트웨어가 필요하지 않습니다.

나는 같은 문제가 있었고 다음 단계를 사용하여 문제를 해결할 수있었습니다.

A : MyEventViewer (프리웨어)를 설치 하고이 프로그램에서 이벤트 목록을여십시오.

불행히도 MyEventViewer에서 설명 (및 설명은 로그인 이름이 저장되는 위치입니다)으로 이벤트를 필터링하는 방법을 찾지 못했지만 적어도 기본 테이블에 설명을 표시합니다.

B : 이 테이블을 log1.txt로 내보내기

C : 고급 텍스트 검색 프로그램을 사용하여 지정된 사용자의 로그인 시간을 추출하십시오.

나는 grep을 사용했습니다.

내 보낸 이벤트의 형식입니다.

로그 유형 : 보안

이벤트 유형 : 감사 성공

시간 : 2012 년 10 월 12 일 18시 33 분 24 초

이벤트 ID : 680

아이디 : SYSTEM

컴퓨터 : YYY

이벤트 설명 : 로그온 시도 : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 로그온 계정 : XXX 원본 워크 스테이션 : YYY 오류 코드 : 0x0

=====================================================

=====================================================

먼저 사용자 XXX의 모든 로그온 시도를 추출하십시오.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

사용자 XXX의 로그온 시도를 필터링하여 log2.txt로 인쇄합니다. -B 4 grep 옵션은 우리가 찾고있는 정보 (로그인 시간)가 우리가 찾고있는 패턴 (사용자 이름)을 포함하는 줄 위에 4 줄 저장되기 때문에 필요합니다.

D : log2.txt에서 로그인 시간 추출

$ grep "Time" log2.txt > log3.txt

이제 log3.txt는 주어진 사용자에 대한 모든 로그인 시간을 나열합니다 :

시간 : 2012 년 10 월 12 일 14시 12 분 32 초

시간 : 7.12.2012 16:20:46

시간 : 5.12.2012 19:22:45

시간 : 5.12.2012 18:57:55

더 간단한 해결책이있을 수는 있지만 찾을 수 없으므로이 방법을 찾아야했습니다.

XML 필터 탭을 사용해보고 다음을 지정하십시오.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>