उपयोगकर्ता द्वारा फ़िल्टर किए गए लॉगिन समय की पुष्टि करने के लिए मैं इवेंट व्यूअर का उपयोग कैसे कर सकता हूं?


16

मुझे काम पर अपना प्रारंभ और समापन समय लॉग करना होगा। कभी-कभी मैं यह करना भूल जाता हूं और एक उज्ज्वल विचार था कि सुरक्षा घटनाओं की जाँच लॉग मुझे मेरे समय का पता लगाने के लिए पूर्वव्यापी रूप से अनुमति देगा।

दुर्भाग्य से, लॉग मेरे विचार से बहुत बड़े हैं और ईवेंट व्यूअर में प्रदर्शित करने के लिए थोड़ा समय लेते हैं। इसके अलावा, मैंने तारीखों और उपयोगकर्ता नाम से लॉग को फ़िल्टर करने की कोशिश की लेकिन अब तक इसका कोई परिणाम नहीं निकला है।

मेरे विचार को व्यवहार्य मानते हुए, क्या किसी को मेरे द्वारा आवश्यक जानकारी को पुनः प्राप्त करने के लिए मुझे क्या करना होगा?

अपडेट करें:

मैंने @surfasb के निर्देशों का पालन किया और बिंदु पर पहुंच गया कि मैं केवल लॉगिन देख सकता हूं, हालांकि इनमें से कुछ सिस्टम-स्तरीय (यानी गैर-मानव) लॉगिन हैं। मैं केवल अपने 'भौतिक' लॉगिन देखना चाहता हूं (सप्ताह के दिनों में केवल दो या तीन ऐसे आयोजन होंगे) और अन्य सभी सामान नहीं।

मैंने अपना Windows उपयोगकर्ता नाम फ़ील्ड में डालने की कोशिश की है जैसा कि नीचे domain\usernameऔर दोनों का उपयोग करके दिखाया गया है usernameलेकिन यह सिर्फ सब कुछ फ़िल्टर करता है। क्या आप सहायता कर सकते हैं?

यहाँ छवि विवरण दर्ज करें

जवाबों:


10

डिफ़ॉल्ट कॉन्फ़िगरेशन इसे गड़बड़ कर देता है। ऐसा इसलिए है क्योंकि Windows कभी भी आपको नेटवर्क कंप्यूटर में लॉगिन करने के लिए ट्रैक करता है। यह आपके कंप्यूटर खाते को भी ट्रैक करता है, उपयोगकर्ता खाते को नहीं, एक लॉगिन सत्र बनाता है।

आपको ऑडिट अकाउंट लॉगऑन विकल्प का उपयोग करना चाहिए न कि ऑडिट लॉगऑन विकल्प का।

जिन घटनाओं को आप देख रहे हैं, उनमें आपके खाते की पूरी तरह से योग्य डोमेन नाम होगा। उदाहरण के लिए, यदि आप एक डोमेन पर नहीं हैं, तो आप जो खोज पाठ देख रहे हैं वह कंप्यूटर_नाम / खाता_नाम है।

संपादित करें

एक अन्य विचार लॉगिन और लॉगऑफ़ स्क्रिप्ट बनाने का है। विंडोज 7 के अपने संस्करण के आधार पर, आप gpedit.mscसमूह नीति कंसोल को लाने के लिए उपयोग कर सकते हैं ।

तब आपको बस एक बैचफाइल की आवश्यकता होगी जिसमें कमांड हो logevent "My login/logoff event" -e 666। यह ईवेंट एप्लिकेशन लॉग में दिखाई देगा

संपादित करें

यदि आप किसी डोमेन पर नहीं हैं तो यह आसान हो जाएगा। यदि आप स्थानीय सुरक्षा / स्थानीय नीतियों / सुरक्षा विकल्पों के तहत जाते हैं, तो "फोर्स ऑडिट ..." विकल्प देखें। मैं इसका नाम भूल गया। लेकिन इसे निष्क्रिय कर दें। सुरक्षा लॉग को कम क्रिया बना देगा, क्योंकि कंसोल में उपयोगकर्ता लॉगिंग के बाद, कुछ मामलों में, समान ईवेंट आईडी साझा करते हैं। कुछ इवेंट आईडी जिन्हें आप देखना चाहते हैं:

  • इवेंट 4647 - यह तब होता है जब आप लॉगऑफ़, पुनरारंभ, शटडाउन बटन दबाते हैं। Windows अद्यतन आपके कंप्यूटर को पुनरारंभ करना भी कभी-कभी इस घटना को बंद कर देता है :(
  • इवेंट 4648 - यह तब होता है जब एक प्रक्रिया (जिसमें लॉगिन स्क्रीन शामिल होती है) आपके स्पष्ट क्रेडेंशियल का उपयोग करती है, बजाय एक टोकन को कहने के, लॉगिन करने के लिए। इसमें रनस कमांड और कई बार, बैकअप प्रोग्राम शामिल हैं।
  • इवेंट 4800 - जब आपका वर्कस्टेशन लॉक हो जाता है, जैसे कि विन + एल दबाने पर
  • इवेंट 4801 - जब आपके वर्कस्टेशन को अनलॉक किया जाता है

आम तौर पर, आप 4647 और 4648 ईवेंट का उपयोग करके प्राप्त कर सकते हैं। दुर्भाग्य से एक निश्चित अग्नि विधि नहीं है क्योंकि आपके कंप्यूटर पर लॉगिन और लॉगऑफ़ करते समय एक हजार चीजें होती हैं।

इसके लिए यह लायक है, काम पर, हम लॉग स्क्रिप्ट को आग लगाने के लिए देखते हैं और लॉगऑफ पर, दो कार्यक्रम हैं और साथ ही एक सिंक घटना है जिसे हम निश्चित रूप से आग की घटनाओं के रूप में देखते हैं।


आपके प्रतिक्रिया के लिए धन्येवाद। क्या आप कृपया थोड़ा और विस्तृत कर सकते हैं? मैं Win7 प्रणाली प्रशासन की murky दुनिया के लिए नया हूँ :-(
5arx

मुझे नहीं पता कि मुझे कहां से शुरू करना चाहिए। "अपने कंप्यूटर को चालू करें"?
सर्फस

अहम। आप सुरक्षित रूप से मान सकते हैं कि मैं इवेंट व्यूअर लॉग को फ़िल्टर करने में जितना सफल रहा हूं ...
5arx

स्थानीय सुरक्षा विकल्पों के तहत जाएं और ऑडिट अकाउंट लॉगऑन को चालू करें। एसीके। मैं एक घंटे में अपनी पोस्ट यहाँ संपादित करूँगा। । ।
सर्फस

मैंने एक संपादन में कुछ सहायक घटनाओं को जोड़ा। मुझे आशा है कि वह मदद करेंगे।
सर्फास

1

सरल उपाय:

  1. वह ईवेंट या ईवेंट खोलें, जिसके लिए आप एक कस्टम दृश्य बनाना चाहते हैं।
  2. दिखाई देने वाली विंडो को कहीं ले जाएं (स्क्रीन का एक किनारा, दूसरा मॉनिटर, या इसे प्रिंट करें)
  3. नया दृश्य बनाएं और खुले हुए ईवेंट पैरामीटर का उपयोग करके परिभाषित करें (जैसे: उपयोगकर्ता, कीवर्ड, कंप्यूटर, आदि ....) इस मामले में, उपयोगकर्ता एन / ए था इसलिए मैंने सिर्फ कंप्यूटर और इवेंट आईडी (4648, 4624 नहीं) का उपयोग किया
  4. आवश्यकतानुसार मापदंडों को संशोधित करने के बाद, सहेजें।

यह विधि आपके द्वारा लॉग करने की इच्छा रखने वाली किसी भी घटना या ईवेंट के लिए उपयोगी है। इसमें जटिल कार्यों या तीसरे पक्ष के सॉफ़्टवेयर की आवश्यकता नहीं होती है।


0

मेरे पास एक ही समस्या है, और इन चरणों का उपयोग करके इसे हल करने में कामयाब रहे:

एक: स्थापित करें MyEventViewer (फ़्रीवेयर) और इस कार्यक्रम में घटनाओं की सूची खोलें।

दुर्भाग्यवश, मैंने पाया नहीं है कि घटनाओं को विवरण में कैसे फ़िल्टर किया जाए (और विवरण MyEventViewer में लॉगिन नाम संग्रहीत है), लेकिन कम से कम लेकिन यह मुख्य तालिका में विवरण प्रदर्शित करता है।

बी: इस तालिका को log1.txt पर निर्यात करें

सी: दिए गए उपयोगकर्ता के लिए लॉगिन समय निकालने के लिए कुछ उन्नत पाठ खोज कार्यक्रम का उपयोग करें।

मैंने grep का इस्तेमाल किया।

यह निर्यात की गई घटनाओं का प्रारूप है:

लॉग प्रकार: सुरक्षा

इवेंट प्रकार: ऑडिट सफलता

समय: 10.12.2012 18:33:24

इवेंट आईडी: 680

उपयोगकर्ता नाम: सिस्टम

कंप्यूटर: YYY

घटना विवरण: लॉगऑन प्रयास: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 लॉगऑन खाता: XXX स्रोत कार्य केंद्र: YYY त्रुटि कोड: 0x0

==================================================

==================================================

सबसे पहले उपयोगकर्ता XXX द्वारा सभी लॉगऑन एटमिप्स निकालें।

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

यह उपयोगकर्ता XXX द्वारा लॉगऑन प्रयासों को फ़िल्टर करेगा और इसे log2.txt पर प्रिंट करेगा। -B 4 grep विकल्प की आवश्यकता होती है क्योंकि हम जिस जानकारी की तलाश कर रहे हैं (लॉगिन समय) उस पंक्ति के ऊपर 4 पंक्तियों को संग्रहीत किया जाता है जिसमें वह पैटर्न होता है जिसे हम खोज रहे हैं (उपयोगकर्ता नाम)।

D: log2.txt से लॉग इन टाइम निकालें

$ grep "Time" log2.txt > log3.txt

अब log3.txt सूची में दिए गए उपयोगकर्ता के लिए सभी लॉगिन बार:

समय: 10.12.2012 14:12:32

समय: 7.12.2012 16:20:46

समय: 5.12.2012 19:22:45

समय: 5.12.2012 18:57:55

सरल समाधान शायद मौजूद है, लेकिन मैं इसे खोजने में असमर्थ रहा हूं, इसलिए यह मेरे लिए चाल चलनी थी।


0

XML फ़िल्टर टैब का उपयोग करके देखें और निम्नलिखित निर्दिष्ट करें:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.