精准的筛选windows用户登录事件

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了精准的筛选windows用户登录事件相关的知识,希望对你有一定的参考价值。

1.    简单的需求?

需求:windows server2008R2环境,需要统计一下近7天用户登录次数。

好像很简单,我知道server2008登录事件的事件ID不就行了,开始统计一下,4624是登录事件ID

技术分享

统计结果如下:

技术分享

好像并没有这么多次登录?

通过查看登录日志,发现在真正的登录时间,是这条日志,去其他不同的是,此条日志记录的进程名是winlogon.exe 要实现比较精确的筛选,需要从这里入手

技术分享

2.    进一步筛选

点击“事件属性”里面的“详细信息”中,可以看见一条信息,后面会用到:

技术分享

在“筛选当前日志”中,选择“XML

技术分享

勾选“手动编辑查询”,并确认:

技术分享

在手动编辑中加入以下设置

*[EventData[Data[@Name=‘ProcessName‘] and (Data=‘c:\windows\system32\winlogon.exe‘)]] and

如图(里面的PrcessNamewinlogon.exe就是前面在“事件属性”里面的“详细信息”中看到的)

技术分享

点击确定后,筛选出的结果就是准确的登录结果了。

3.    windows server 2012的登录筛选

windows server2012中,可能会有一些小变化,但是也没关系,按照之前的解决思路即可。下面可做参考:

*[EventData[Data[@Name=‘ProcessName‘] and (Data=‘c:\windows\system32\winlogon.exe‘)]] and

*[EventData[Data[@Name=‘LogonType‘] and (Data=‘10‘)]] and

补充

XML里面也可以对其他想要的信息进行筛选,有兴趣可以试试。


本文出自 “记录与学习 提高与分享” 博客,请务必保留此出处http://huandidi.blog.51cto.com/23337/1954555

以上是关于精准的筛选windows用户登录事件的主要内容,如果未能解决你的问题,请参考以下文章

用户登录时如何检测事件?

Windows Server 2008 R2 如何删除用户登陆记录(登陆用户名、IP等)

如何使用 Powershell 读取登录事件和查找用户信息?

用Java做的登录界面怎么跳转到不同用户的界面

Linux里面如何查看系统用户登录日志?

追踪登录失败的账号