केवल 4624 ईवेंट लॉग डेटा से उपयोगकर्ता कीबोर्ड को कैसे फ़िल्टर करें?

0

मैं सिक्योरिटी इवेंट लॉग से फ़िल्टर करने की कोशिश कर रहा हूं, वे लॉग जो कीबोर्ड पर पासवर्ड टाइप करके उपयोगकर्ता (मुझे) लॉगिंग के अनुरूप हैं। मैं चाहूंगा कि पीसी को चालू करने के बाद स्क्रीन को अनलॉक करने के साथ-साथ लॉगिंग का भी पता लगाया जाए।

मेरा मानना ​​है कि इसके लिए जिम्मेदार इवेंट आईडी 4624 है।

मेरा मुद्दा यह है कि हर बार लॉगिन होने पर उन इवेंट आईडी की एक भीड़ होती है।

इसे छानने के लिए मैं सभी 4624 इवेंट ID के XML में साझा करता हूं:

  1. यदि "LogonType" == 2, नंबर दो प्रकार इंटरैक्टिव कीबोर्ड / स्क्रीन लॉगऑन को सौंपा गया है।

  2. यदि "TargetUsername" == Myusername, यह अन्य सेवाओं द्वारा शुरू किए गए सभी लॉगऑन इवेंट को हटा देता है।

  3. अगर "LogonGuid" != "00000000-0000-0000-0000-000000000000", यह लॉगिन ईवेंट की निरर्थक प्रतियाँ निकालता है, जो कि मेरा नाम भी है "TargetUsername"और GUIDID के साथ लॉगिन के कुछ ही मील के भीतर होता है जो गैर-शून्य है।

मुझे यकीन नहीं है कि यह सही aproach है क्योंकि इसका उपयोग करने के बाद यह बूटअप के बाद लॉगिन ईवेंट को याद करने लगता है। शट डाउन के बाद मैंने पहली बार लॉग इन किया, उस समय की कोई भी घटना सभी तीन स्थितियों से संतुष्ट नहीं हुई।

आज 9:30 के आसपास 4624 घटनाओं की एक श्रृंखला थी, लेकिन कोई भी ऐसा नहीं था जो मेरे मानदंड के अनुकूल हो। नीचे मेरा लॉग इन / आउट एक्स्ट्रेक्ट है, दो लगातार लॉगआउट इवेंट हैं जिनमें लॉग इन नहीं किया गया है। मैंने 9:30 के आसपास लॉगिन किया था।

Log in:   12-10T13:45:09.92629
Log out:  12-10T13:06:44.29530
Log in:   12-10T09:59:15.51808
Log out:  12-10T09:48:59.63086 <--
Log out:  12-07T17:36:59.08875 <--
Log in:   12-07T15:12:21.93870
Log out:  12-07T15:10:52.82871
Log in:   12-07T14:05:37.53658
Log out:  12-07T13:57:03.61220
Log in:   12-07T13:35:47.04114
Log out:  12-07T13:35:33.83213
Log in:   12-07T13:19:58.33986
Log out:  12-07T13:19:49.87156
Log in:   12-07T12:54:40.80056
Log out:  12-07T12:15:52.70091
Log in:   12-07T09:50:54.37527
Log out:  12-07T09:33:20.24622
Log in:   12-07T09:32:22.36908
Log out:  12-06T17:10:28.06655
Log in:   12-06T16:37:02.14689
Log out:  12-06T16:26:36.92315
Log in:   12-06T12:58:48.43339
Log out:  12-06T12:04:33.35497

LogonTypeमान के साथ एक घटना है 2, लेकिन यह TargetUserNameहै UMFD-0, उसी समय सही उपयोगकर्ता नाम (mne) के साथ एक और घटना है TargetUserNameलेकिन यह LogonTypeहै 11

मैंने फिर से शुरू किया और इसे फिर से खोजने की कोशिश की और इस बार एक ऐसी घटना हुई जिसने उन तीन फिल्टर को संतुष्ट किया। मुझे यकीन नहीं है कि यह एक बंद था या अधिक संभावना है कि मेरी समझ बंद है।

मैं विंडोज स्क्रिप्ट आईडी का उपयोग करके कीबोर्ड से लॉग इन करने के लिए अपनी स्क्रिप्ट को कैसे तैयार करूं?

धन्यवाद!

windows  keyboard  script  login  event-log 
mega_creamery
स्रोत

जवाबों:

0

ऐसा लगता है कि मेरा फ़िल्टरिंग दृष्टिकोण केवल आंशिक रूप से सही है, क्योंकि प्रत्येक कीबोर्ड लॉगिन इवेंट व्यूअर में इवेंट 4624 टाइप 2 के रूप में खुद को प्रकट नहीं करता है। नीचे लॉगऑन प्रकारों की एक तालिका है, उनके विवरण के साथ, अंतिम विंडो परमवीर चक्र से आ रही है । 

Logon                       Description
Type     
-----------------------------------------------------------------------------------------------------
2    Interactive (logon at keyboard and screen of system)
3    Network (i.e. connection to shared folder on this computer from elsewhere on network)
4    Batch (i.e. scheduled task)
5    Service (Service startup)
7    Unlock (i.e. unnattended workstation with password protected screen saver)
8    NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates 
     a logon to IIS with "basic authentication") 
9    NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  
     This logon type does not seem to show up in any events.  If you want to track users attempting 
     to logon with alternate credentials see 4648.  MS says "A caller cloned its  current token and 
     specified new credentials for outbound connections. The new logon session has  the same local 
     identity, but uses different credentials for other network connections."
10   RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11   CachedInteractive (logon with cached domain credentials such as 
     when logging on to a laptop when away from the network)

एक इंटरैक्टिव लॉगिन की सटीक परिभाषा अभी भी मेरे लिए थोड़ी फजी है क्योंकि मुझे परस्पर विरोधी परिभाषाएं मिलती हैं, लेकिन टाइप 10 और 11 उनके विवरण में इंटरएक्टिव हैं। टाइप 11 तब होता है जब मैं नेटवर्क से कनेक्ट नहीं होते हुए अपने कार्य केंद्र में प्रवेश करता हूं।

उस ईवेंट को जोड़ने और फ़िल्टर करने के लिए मुझे सभी लॉगिन ईवेंट को फ़िश करने की अनुमति दी गई है।

mega_creamery
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.