Как я могу использовать Event Viewer для подтверждения времени входа, отфильтрованного пользователем?

Я обязан записывать мое время начала и окончания на работе. Иногда я забываю это делать, и у меня была блестящая идея, что проверка журнала событий безопасности позволит мне ретроспективно определить мое время.

К сожалению, журналы намного больше, чем я думал, и даже отображаются в Event Viewer. Кроме того, я попытался отфильтровать журналы по дате и идентификатору пользователя, но пока это не дало никаких результатов.

Если предположить, что моя идея осуществима, может ли кто-нибудь шаг за шагом понять, что мне нужно сделать, чтобы получить нужную мне информацию?

ОБНОВИТЬ:

Я следовал инструкциям @surfasb и дошел до точки, где я могу видеть только логины, однако некоторые из них - логины системного уровня (то есть, не принадлежащие человеку). Я хотел бы видеть только мои «физические» логины (в будние дни будет только два или три таких события), а не все остальные вещи.

Я попытался поместить свое имя пользователя Windows в поле, как показано ниже, используя оба, domain\usernameи просто, usernameно это просто отфильтровывает все. Вы можете помочь?

Конфигурация по умолчанию делает его довольно грязным. Это потому, что Windows также отслеживает каждый раз, когда вам нужно войти в сеть компьютеров. Он также отслеживает каждый раз, когда ваша учетная запись компьютера, а не учетная запись пользователя, создает сеанс входа в систему.

Вы должны использовать параметр входа в учетную запись аудита, а не параметр входа в систему аудита .

События, которые вы ищете, будут иметь полное доменное имя вашей учетной записи. Например, если вы не находитесь в домене, искомый текст для поиска - имя_компьютера / имя_счета.

редактировать

Другая идея заключается в создании сценариев входа и выхода. В зависимости от вашей версии Windows 7 вы можете использовать gpedit.mscдля запуска консоли групповой политики.

Тогда вам просто понадобится пакетный файл с командой logevent "My login/logoff event" -e 666. Это событие будет отображаться в журнале приложений

редактировать

Это будет проще, если вы не находитесь в домене. Если вы выберете Локальная безопасность / Локальные политики / Параметры безопасности, найдите параметр «Принудительный аудит ...». Я забыл название этого. Но отключи это. Это сделает журналы безопасности менее подробными, поскольку пользователь, входящий в систему с консоли, в некоторых случаях использует один и тот же идентификатор события. Некоторые идентификаторы событий, которые вы хотите найти:

• Событие 4647 - это когда вы нажимаете кнопку выхода, перезагрузки, выключения. Обновление Windows, перезагружающее компьютер, также иногда вызывает это событие :(
• Событие 4648 - это когда процесс (который включает экран входа в систему) использует ваши явные учетные данные, а не, скажем, токен, для входа в систему. Это включает в себя команду Runas и много раз, программы резервного копирования.
• Событие 4800 - Когда ваша рабочая станция заблокирована, например, нажмите WIN + L
• Событие 4801 - Когда ваша рабочая станция разблокирована

Как правило, вы можете получить, используя события 4647 и 4648. К сожалению, нет точного метода запуска, так как есть тысячи вещей, которые происходят при входе и выходе из компьютера.

Для этого стоит, на работе, мы ищем сценарий входа в систему и при выходе из системы, есть две программы, а также событие синхронизации, которое мы ищем как уверенные события запуска.

Простое решение:

1. Откройте событие или события, для которых вы хотите создать пользовательский вид.
2. Переместите окно в такое место, где оно будет видно (одна сторона экрана, второй монитор, или распечатайте его)
3. Создайте новое представление и определите, используя параметры открытого события (например, «Пользователь», «Ключевые слова», «Компьютер» и т. Д.). В этом случае пользователь был недоступен, поэтому я просто использовал «Компьютер» и идентификатор события (4648, а не 4624).
4. После изменения параметров при необходимости сохраните.

Этот метод полезен для любого события или набора событий, которые вы хотите зарегистрировать. Не требует сложных задач или стороннего программного обеспечения.

У меня была та же проблема, и мне удалось решить ее с помощью следующих шагов:

A: Установите MyEventViewer (бесплатно) и откройте список событий в этой программе.

К сожалению, я не нашел, как отфильтровать события по описанию (а описание - где хранится имя пользователя) в MyEventViewer, но, по крайней мере, оно отображает описание в основной таблице.

B: экспортировать эту таблицу в log1.txt

C: Используйте некоторую программу расширенного поиска текста, чтобы извлечь время входа для данного пользователя.

Я использовал grep.

Это формат экспортируемых событий:

Тип журнала: Безопасность

Тип события: Аудит Успех

Время: 10.12.2012 18:33:24

Код события: 680

Имя пользователя: SYSTEM

Компьютер: YYY

Описание события: Попытка входа в систему: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: XXX Исходная рабочая станция: YYY Код ошибки: 0x0

==================================================

==================================================

Сначала извлеките все попытки входа в систему пользователем XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Это отфильтрует попытки входа в систему от пользователя XXX и распечатает его в log2.txt. -B Требуется опция 4 grep, потому что информация, которую мы ищем (время входа в систему), хранится на 4 строки выше строки, содержащей искомый шаблон (имя пользователя).

D: Извлечь время входа из log2.txt

$ grep "Time" log2.txt > log3.txt

Теперь log3.txt перечисляет все времена входа для данного пользователя:

Время: 10.12.2012 14:12:32

Время: 7.12.2012 16:20:46

Время: 5.12.2012 19:22:45

Время: 5.12.2012 18:57:55

Возможно, существует более простое решение, но я не смог его найти, поэтому мне пришлось с этим справиться.

Попробуйте использовать вкладку фильтра XML и укажите следующее:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>