精准的筛选windows用户登录事件

1.    简单的需求?

需求:windows server2008R2环境,需要统计一下近7天用户登录次数。

好像很简单,我知道server2008登录事件的事件ID不就行了,开始统计一下,4624是登录事件ID:

统计结果如下:

好像并没有这么多次登录?

通过查看登录日志,发现在真正的登录时间,是这条日志,去其他不同的是,此条日志记录的进程名是winlogon.exe 要实现比较精确的筛选,需要从这里入手

2.    进一步筛选

点击“事件属性”里面的“详细信息”中,可以看见一条信息,后面会用到:

在“筛选当前日志”中,选择“XML”

勾选“手动编辑查询”,并确认:

在手动编辑中加入以下设置

*[EventData[Data[@Name=‘ProcessName‘] and (Data=‘c:\windows\system32\winlogon.exe‘)]] and

如图(里面的PrcessName和winlogon.exe就是前面在“事件属性”里面的“详细信息”中看到的):

点击确定后,筛选出的结果就是准确的登录结果了。

3.    windows server 2012的登录筛选

在windows server2012中,可能会有一些小变化,但是也没关系,按照之前的解决思路即可。下面可做参考:

*[EventData[Data[@Name=‘ProcessName‘] and (Data=‘c:\windows\system32\winlogon.exe‘)]] and

*[EventData[Data[@Name=‘LogonType‘] and (Data=‘10‘)]] and

补充

XML里面也可以对其他想要的信息进行筛选,有兴趣可以试试。

时间: 2024-10-05 01:57:27

精准的筛选windows用户登录事件的相关文章

Zabbix日志监控之监控Windows用户登录

Zabbix监控Windows用户登录是通过对Windows日志的监控来实现.在登录审核失败或者登录成功时发出告警.     告警邮件示例: 下面给出监控思路和步骤: 一.分析登录日志 打开事件查看器,依次选择"Windows日志"->"安全".     1.登录成功的日志 通常一个登录成功的日志有四条: 其中事件ID为4624的日志里包含登录账户名.登录源IP和端口等.     2.账户登录失败的日志 账户登录失败会产生一条事件ID为4625的日志,日志里也

多个windows用户登录同一台电脑使用软件

场景:考虑一下SKYPE软件,当用户Paul登录电脑,打开SEYPE软件登录并选择下次自动登录时,用户Paul下次打开电脑时SKYPE就会自动登录.但是当用户RICKY登录同一台电脑时,SKYPE软件却不会自动登录,这是由于SKYPE针对不同的用户,把数据记录到了C:\Users\Paul\AppData\Roaming\Skype的目录中,这样不同的用户针对软件的数据是分开的,所以就会造成这样的情况.但是有些情况下,某些信息却是要所有的用户都共享的,比如一个软件需要进行验证才能使用,没有道理说

29-SQLServer中Windows用户和sa用户都登录不上的解决办法

一.注意点 1.网址 https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/connect-to-sql-server-when-system-administrators-are-locked-out?redirectedfrom=MSDN&view=sql-server-ver15(官方解决办法) 2.Windows用户登录不上的几种状态 (1)Windows登录用户被删除 (2)Windows登录用户被

Windows用户安全小技巧

本文适用于具有管理员用户和标准用户的所有Windows系统,如Windows 2000以上的操作系统,UAC是Windows Vista以上版本的具有功能. 新安装的Windows系统或者新购买的含有Windows系统计算机一开始都需要安装许多软件并需要设置较多的含有Windows安全或用户控制设置的功能或操作.此时如果利用管理员账户做这些事情是非常方便的.Windows不像Linux一样,在Windows系统中,每一个涉及含有Windows安全或用户控制设置的功能或操作都需要获得管理员授权,即

ASP.NET用户登录按钮事件

1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using System.Text; 5 6 namespace HotelMIS 7 { 8 public static class DBHelper 9 { 10 //连接数据库字符串 11 public static readonly string conStr = "Server=.;Database=HotelManager;Integr

命令行添加用户的“作为服务登录”权利(添加Windows用户的时候,门道不是一般的多)good

1.打开控制台(“开始”|“运行”中输入:MMC) 2.“文件”菜单|“添加删除管理单元”|“添加...”|选“安全模板”|“关闭”. 3.在“C:\Windows\Security\templates”节点上,右键“新建模板...”,在弹出的对话框中“模板名”中输入:new,确定. 4.打开“New|本地策略|用户权利指派”节点,在右侧的“作为服务器登录”中添加要赋予该权限的用户. 5.然后,在“New”节点上单击右键,选“另存为...”保存到“C:\Sec.inf”. 6.建立批处理文档中输

Linux 服务器和Windows服务器 用户登录失败次数限制【互联网金融系统漏洞排查】

1.Linux服务器用户登录失败次数限制(使用pam模块实现) /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 1.1.用户通过ssh登录失败次数的限制 第一步)需要使用pam模块来实现此功能,检查是否有pam_tally2.so文件 # find /lib* -name pam_tally2.so /lib64/security/pam_tally2.so 第二步)修改配置文件: # vi /etc/pam.d/sshd #%PAM-1.

Zabbx监控报警windows用户登陆

一.目的 目的:zabbix监控本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员.注意:此文档不探讨zabbix分布式,调优,监控其它服务等问题. 本实验做了一天多,比较耗时,走了点弯路,允许转载,请转载请指明链接: renzhiyuan.blog.51cto.com 二.准备工作: 2.1)zabbix服务安装配置(安装注意事项不探讨) 2.2)配置邮件报警(微信,QQ,短信报警不探讨) 2.3)修改报警模板(默认的报警配置视觉感比较差

SVN分级授权部署手册 --Windows用户认证

http://wenku.baidu.com/view/a0a16ea34028915f804dc2f8.html 第一章 概述 当VisualSVN 2.7采用Windows用户认证或Windows域认证时,可以使用SVN分级授权工具对VisualSVN的授权功能进行扩展,实现SVN库的创建.分库的分级授权.SVN用户密码修改等.本手册主要描述Windows用户认证的配置方法,关于采用Windows域认证的配置方法请参考<SVN分级授权工具部署手册--Windows域认证>. 第二章 安装部