您好,登錄后才能下訂單哦!
需求:windows server2008R2環(huán)境,需要統(tǒng)計(jì)一下近7天用戶登錄次數(shù)。
好像很簡單,我知道server2008登錄事件的事件ID不就行了,開始統(tǒng)計(jì)一下,4624是登錄事件ID:
統(tǒng)計(jì)結(jié)果如下:
好像并沒有這么多次登錄?
通過查看登錄日志,發(fā)現(xiàn)在真正的登錄時(shí)間,是這條日志,去其他不同的是,此條日志記錄的進(jìn)程名是winlogon.exe 要實(shí)現(xiàn)比較精確的篩選,需要從這里入手
點(diǎn)擊“事件屬性”里面的“詳細(xì)信息”中,可以看見一條信息,后面會用到:
在“篩選當(dāng)前日志”中,選擇“XML”
勾選“手動編輯查詢”,并確認(rèn):
在手動編輯中加入以下設(shè)置
*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and
如圖(里面的PrcessName和winlogon.exe就是前面在“事件屬性”里面的“詳細(xì)信息”中看到的):
點(diǎn)擊確定后,篩選出的結(jié)果就是準(zhǔn)確的登錄結(jié)果了。
在windows server2012中,可能會有一些小變化,但是也沒關(guān)系,按照之前的解決思路即可。下面可做參考:
*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and
*[EventData[Data[@Name='LogonType'] and (Data='10')]] and
XML里面也可以對其他想要的信息進(jìn)行篩選,有興趣可以試試。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。