精準(zhǔn)的篩選windows用戶登錄事件

發(fā)布時(shí)間：2020-03-30 14:36:36 來源：網(wǎng)絡(luò) 閱讀：3480 作者：流星影shin 欄目：系統(tǒng)運(yùn)維

需求：windows server2008R2環(huán)境，需要統(tǒng)計(jì)一下近7天用戶登錄次數(shù)。

好像很簡單，我知道server2008登錄事件的事件ID不就行了，開始統(tǒng)計(jì)一下，4624是登錄事件ID：

統(tǒng)計(jì)結(jié)果如下：

精準(zhǔn)的篩選windows用戶登錄事件

好像并沒有這么多次登錄？

通過查看登錄日志，發(fā)現(xiàn)在真正的登錄時(shí)間，是這條日志，去其他不同的是，此條日志記錄的進(jìn)程名是winlogon.exe 要實(shí)現(xiàn)比較精確的篩選，需要從這里入手

精準(zhǔn)的篩選windows用戶登錄事件

點(diǎn)擊“事件屬性”里面的“詳細(xì)信息”中，可以看見一條信息，后面會用到：

精準(zhǔn)的篩選windows用戶登錄事件

在“篩選當(dāng)前日志”中，選擇“XML”

精準(zhǔn)的篩選windows用戶登錄事件

勾選“手動編輯查詢”，并確認(rèn)：

精準(zhǔn)的篩選windows用戶登錄事件

在手動編輯中加入以下設(shè)置

*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and

如圖(里面的PrcessName和winlogon.exe就是前面在“事件屬性”里面的“詳細(xì)信息”中看到的)：

精準(zhǔn)的篩選windows用戶登錄事件

點(diǎn)擊確定后，篩選出的結(jié)果就是準(zhǔn)確的登錄結(jié)果了。

在windows server2012中，可能會有一些小變化，但是也沒關(guān)系，按照之前的解決思路即可。下面可做參考：

*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and

*[EventData[Data[@Name='LogonType'] and (Data='10')]] and

XML里面也可以對其他想要的信息進(jìn)行篩選，有興趣可以試試。

向AI問一下細(xì)節(jié)

猜你喜歡