История входа пользователей в ОС

@Джуниор · Регистрация: 29.09.2009

Студворк — интернет-сервис помощи студентам

Здравствуйте, необходимо вывести журнал авторизации пользователей в системе Windows server ( Аудит включен)

Журнал нужен примерно следующий виде.

Дата, тип события( вход/выход) ,Имя пользователя.

Журнал необходим, чтоб отследить пользователей входивших (выходивших) в систему за определенный период.

Системный журнал в обычном режиме показывает лишь события успешного / не успешного входа в систему, но как вывести рядом пользователя сгенерировавшего данное событие не ясно.

Варианты решения:

Готовое ПО для анализа авторизации пользователей
Какой нибудь хитрый скприт
Тонкая настройка фильтров журнала событий

Кто что успешно практиковал и может поделиться решением?

@KDE777 · 11.10.2018, 19:18

Сообщение от Джуниор

необходимо вывести журнал авторизации пользователей в системе Windows server ( Аудит включен)

Сообщение от Джуниор

Какой нибудь хитрый скприт

PowerShell вам в помощь:

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Get-WinEvent -ComputerName 'localhost' -FilterHashtable @{
    logname = "Security";
    StartTime = (Date).AddDays(-1);
    ID = 4624,4634;
} | %{
    
    $event = $_
    
    $xmlEvent = [xml]$event.ToXml()
    $EventData = New-Object PSObject
    $xmlEvent.event.EventData.Data | % {$EventData | Add-Member NoteProperty $_.Name $_."#text"}
    
    if ($EventData.LogonType -eq 2)
    {
 
    New-Object PSObject -Property @{
        EventId =     $event.Id
        TimeCreated = $event.TimeCreated
        Task        = "$($event.TaskDisplayName)"
        Keywords    = "$($event.KeywordsDisplayNames)"
        User        = $EventData.TargetUserName
        }
 
    }
 
} | ft -a

@Джуниор · 11.10.2018, 20:57 **[ТС]**

Сообщение от KDE777

PowerShell вам в помощь:

Спасибо за ответ. Указанный Вами скрипт выводит в качестве результата сам свой текст. Возможно я что то делаю не так или в процессе копирования кода что то не так копируется.

@Джуниор · 11.10.2018, 21:02 **[ТС]**

Я нашел решение, обратился к коллеге программисту. Мне помог следующий код:

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$time = [int64](New-TimeSpan (get-date "01/01/2017") (get-date "08/10/2018")).TotalMilliseconds
$filter = "*[System[TimeCreated[timediff(@SystemTime) < $time] and EventID=4624] and EventData[Data[@Name='LogonType']=10]]"
$results = @(
Get-WinEvent -FilterXPath $filter -LogName Security | Foreach {
$evt = $_
$addr = $evt.Properties[18].Value
$textcolor = $host.ui.rawui.foregroundcolor
$host.ui.rawui.foregroundcolor = "red"
 
if ($addr -like "192.168.0*") {$host.ui.rawui.foregroundcolor = "DarkGreen"}
if ($addr -like "10.*") {$host.ui.rawui.foregroundcolor = "yellow"}
"" | Select-Object @{n="Time";e={$evt.TimeCreated}},@{n="UserName";e={$evt.Properties[5].Value}},@{n="Address";e={$addr}}
$host.ui.rawui.foregroundcolor = $textcolor
}
)
$results | export-csv -Encoding UTF8 -Path d:\so1.csv -NoTypeInformation -Delimiter ";"

Выводит результат в файл d:\so1.csv очень удобно анализировать.

предварительно нужно разрешить исполнение пользовательских сценариев в повершел. Иначе скрипт не выполняется.
Подробно есть статья на хабре "PowerShell и аудит безопасности"

@KDE777 · 12.10.2018, 00:13

Сообщение от Джуниор

Указанный Вами скрипт выводит в качестве результата сам свой текст.

Это значит, что за прошедшие сутки таких событий не найдено.

Скрипт который вы запустили:

1. Ищет события за последние сутки от момента запуска - (Date).AddDays(-1). Можете поменять -1 на больший интервал.
2. Ищет события, у которых LogonType = 2, т.е. интерактивный вход/выход в систему. Подробности здесь.

Сообщение от Джуниор

Я нашел решение, обратился к коллеге программисту. Мне помог следующий код:

Этот код использует тот же Get-WinEvent из PowerShell, вот только выбирает он события о терминальном входе в систему (RemoteInteractive), о чём вы забыли уточнить в изначальном запросе + диапазон в вашем примере почти два года.

А вот учитывая, что вам необходимо выбирать события за очень длительный срок, выбор xml-фильтра, действительно более оправдан, т.к. Get-WinEvent с хеш-фильтром обрабатывает Security-журнал намного дольше (где-то даже есть об этом статья).

Однако, ваш код не выбирает события выхода и не показывает неудачные попытки. Если это добавить, получится примерно так:

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
<#
Logon Type Description
 
2   Interactive (logon at keyboard and screen of system)
3   Network (i.e. connection to shared folder on this computer from elsewhere on network)
4   Batch (i.e. scheduled task)
5   Service (Service startup)
7   Unlock (i.e. unnattended workstation with password protected screen saver)
8   NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9   NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  This logon type does not seem to show up in any events.  If you want to track users attempting to logon with alternate credentials see 4648.  MS says "A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections."
10  RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11  CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
 
#>
 
$EndDate = date
$StartDate = $EndDate.AddDays(-365)
 
$LogonType = 10
$csvFile = 'c:\temp\report.csv'
$ComputerName = 'localhost'
 
 
$time = [int64](New-TimeSpan $StartDate $EndDate).TotalMilliseconds
$xmlFilter = "*[System[TimeCreated[timediff(@SystemTime) < $time] and (EventID=4624 or EventID=4634)] and EventData[Data[@Name='LogonType']=$LogonType]]"
 
Get-WinEvent -ComputerName $ComputerName -FilterXPath $xmlFilter -LogName Security | %{
    
    $event = $_
    
    $xmlEvent = [xml]$event.ToXml()
    $EventData = New-Object PSObject
    $xmlEvent.event.EventData.Data | % {$EventData | Add-Member NoteProperty $_.Name $_."#text"}
    
    [pscustomobject][ordered]@{
        EventId =     $event.Id
        DateCreated = $event.TimeCreated.ToShortDateString()
        TimeCreated = $event.TimeCreated.ToLongTimeString()
        Task        = "$($event.TaskDisplayName)"
        Keywords    = "$($event.KeywordsDisplayNames)"
        User        = $EventData.TargetUserName
        IP          = $EventData.IpAddress
        LogonType   = switch ($EventData.LogonType)
                      {
                        2  {'Interactive'}
                        3  {'Network'}
                        4  {'Batch'}
                        5  {'Service'}
                        7  {'Unlock'}
                        8  {'NetworkCleartext'}
                        9  {'NewCredentials'}
                        10 {'RemoteInteractive'}
                        11 {'CachedInteractive'}
                        Default {$EventData.LogonType}
                      }
 
    }
 
} | Export-Csv -Encoding UTF8 -Path $csvFile -NoTypeInformation -Delimiter ";"
 
cls
Import-Csv $csvFile -Delimiter ';' | ft -a

@Джуниор · 12.10.2018, 09:58 **[ТС]**

Сообщение от KDE777

вот только выбирает он события о терминальном входе в систему (RemoteInteractive), о чём вы забыли уточнить в изначальном запросе + диапазон в вашем примере почти два года.

Да забыл уточнить.

Интервал 2 года вбит от балды.
Сервер активно используется. Объем записей ограничен предельным размером файла журнала аудита. В итоге событий больше чем за 2 месяца не сохраняются( оно и не нужно пока).

Отдельно благодарю за улучшенный скрипт!!!

@Hector_Aldozar · 04.05.2020, 06:49

Добрый день! Спустя полтора года, апну тему...
Ребятушки, помогите разобраться. Эта тема мне очень помогла (5), но теперь вопрос в том, как в PowerShell настроить сценарий по EventID 4647 (4647: Пользователь инициировал выход из системы.). Если говорить про 4634 - то время с точностью до секунды совпадает с 4624, то есть как я понимаю, как только сценарий авторизации пройден, начинается другой сценарий.
Цитата с https://docs.microsoft.com/

Основное различие между событием "4647: Пользователь инициировал выход из системы." и событием 4634 состоит в том, что событие 4647 создается при инициировании процедуры выхода определенной учетной записью с помощью функции выхода из системы, а событие 4634 показывает, что сеанс был завершен и больше не существует.

Пробуя выводить по 4647 - сценарий не выполняется, либо выводит пустые строки.

Спасибо.

Новые блоги и статьи Все статьи Все блоги /
Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита "ПричинаСписания". . .
wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Программное заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .

@Джуниор 88 / 67 / 8 Регистрация: 29.09.2009 Сообщений: 427

	История входа пользователей в ОС 07.10.2018, 20:56. Показов 25427. Ответов 6 Метки нет (Все метки) Здравствуйте, необходимо вывести журнал авторизации пользователей в системе Windows server ( Аудит включен) Журнал нужен примерно следующий виде. Дата, тип события( вход/выход) ,Имя пользователя. Журнал необходим, чтоб отследить пользователей входивших (выходивших) в систему за определенный период. Системный журнал в обычном режиме показывает лишь события успешного / не успешного входа в систему, но как вывести рядом пользователя сгенерировавшего данное событие не ясно. Варианты решения: Готовое ПО для анализа авторизации пользователей Какой нибудь хитрый скприт Тонкая настройка фильтров журнала событий Кто что успешно практиковал и может поделиться решением? 0

История входа пользователей в ОС

Решение