Comment puis-je utiliser l'Observateur d'événements pour confirmer les heures de connexion filtrées par l'utilisateur?

16

Je dois enregistrer mes heures de début et de fin au travail. Parfois, j'oublie de le faire et j'ai eu une idée brillante que la vérification du journal des événements de sécurité me permettrait de vérifier rétrospectivement mes heures.

Malheureusement, les journaux sont beaucoup plus gros que je ne le pensais et prennent même un certain temps à s'afficher dans l'Observateur d'événements. De plus, j'ai essayé de filtrer les journaux par date et ID utilisateur, mais jusqu'à présent, cela n'a donné aucun résultat.

En supposant que mon idée est réalisable, quelqu'un peut-il passer à travers ce que je devrais faire pour récupérer les informations dont j'ai besoin?

MISE À JOUR:

J'ai suivi les instructions de @surfasb et suis arrivé au point où je ne peux voir que les connexions, cependant certaines d'entre elles sont des connexions au niveau du système (c'est-à-dire non humaines). Je voudrais voir uniquement mes identifiants «physiques» (il n'y aurait que deux ou trois événements de ce type en semaine) et pas tous les autres éléments.

J'ai essayé de mettre mon nom d'utilisateur Windows dans le champ comme indiqué ci-dessous en utilisant les deux domain\usernameet juste, usernamemais cela filtre tout. Pouvez-vous m'aider?

entrez la description de l'image ici

5arx
la source

Réponses:

10

La configuration par défaut le rend plutôt désordonné. En effet, Windows effectue également le suivi chaque fois que vous devez vous connecter à des ordinateurs réseau. Il suit également chaque fois que votre compte d'ordinateur, et non le compte d'utilisateur, crée une session de connexion.

Vous devez utiliser l' option d' ouverture de session de compte d'audit et non l' option d' ouverture de session d'audit .

Les événements que vous recherchez auront le nom de domaine complet de votre compte. Par exemple, si vous n'êtes pas sur un domaine, le texte de recherche que vous recherchez est nom_ordinateur / nom_compte.

Éditer

Une autre idée est de créer des scripts de connexion et de déconnexion. Selon votre édition de Windows 7, vous pouvez utiliser gpedit.mscpour afficher la console de stratégie de groupe.

Ensuite, vous aurez juste besoin d'un fichier de commandes contenant la commande logevent "My login/logoff event" -e 666. Cet événement apparaîtra dans le journal des applications

Éditer

Ce sera plus facile si vous n'êtes pas sur un domaine. Si vous allez sous Sécurité locale / Stratégies locales / Options de sécurité, recherchez l'option "Forcer l'audit ...". J'en ai oublié le nom. Mais désactivez-le. Cela rendra les journaux de sécurité moins verbeux, car un utilisateur se connectant à la console, dans certains cas, partage le même ID d'événement. Quelques ID d'événement que vous souhaitez rechercher:

  • Événement 4647 - c'est lorsque vous appuyez sur le bouton de déconnexion, de redémarrage et d'arrêt. La mise à jour de Windows qui redémarre votre ordinateur déclenche également parfois cet événement :(
  • Événement 4648 - c'est quand un processus (qui comprend l'écran de connexion) utilise vos informations d'identification explicites, plutôt que de dire un jeton, pour vous connecter. Cela inclut la commande Runas et souvent, des programmes de sauvegarde.
  • Événement 4800 - Lorsque votre poste de travail est verrouillé, comme appuyer sur WIN + L
  • Événement 4801 - Lorsque votre poste de travail est déverrouillé

En règle générale, vous pouvez obtenir en utilisant les événements 4647 et 4648. Malheureusement, il n'y a pas de méthode de tir sûre car il y a mille choses qui se produisent lorsque vous vous connectez et vous déconnectez de votre ordinateur.

Pour que cela vaille la peine, au travail, nous recherchons le script de connexion à déclencher et à la déconnexion, il existe deux programmes ainsi qu'un événement de synchronisation que nous recherchons comme des événements d'incendie sûrs.

surfasb
la source
Merci pour votre réponse. Pourriez-vous nous en dire un peu plus, s'il vous plaît? Je suis nouveau dans le monde trouble de l'administration système de Win7 :-(
5arx
Je ne sais pas par où commencer. "Allumez votre ordinateur"?
surfasb
Ahem. Vous pouvez supposer en toute sécurité que j'ai réussi à filtrer les journaux de l'
Observateur d'
Allez sous les Options de sécurité locales et activez Audit Account Logon. Ack. Je vais éditer mon message dans une heure ici. . .
surfasb
J'ai ajouté quelques événements utiles dans une édition. J'espère que ça aide.
surfasb
1

Solution simple:

  1. Ouvrez le ou les événements pour lesquels vous souhaitez créer une vue personnalisée.
  2. Déplacez la fenêtre quelque part qui sera visible (un côté de l'écran, deuxième moniteur ou imprimez-le)
  3. Créez une nouvelle vue et définissez en utilisant les paramètres d'événement ouverts (par exemple: utilisateur, mots-clés, ordinateur, etc.)
  4. Après avoir modifié les paramètres selon vos besoins, enregistrez.

Cette méthode est utile pour tout événement ou ensemble d'événements que vous souhaitez enregistrer. Il ne nécessite pas de tâches complexes ou de logiciels tiers.

applephx
la source
0

J'ai eu le même problème et j'ai réussi à le résoudre en suivant ces étapes:

R: Installez MyEventViewer (freeware) et ouvrez la liste des événements dans ce programme.

Malheureusement, je n'ai pas trouvé comment filtrer les événements par description (et la description est où le nom de connexion est stocké) dans MyEventViewer, mais au moins, mais il affiche la description dans le tableau principal.

B: Exportez ce tableau vers log1.txt

C: Utilisez un programme de recherche de texte avancé pour extraire les temps de connexion pour un utilisateur donné.

J'ai utilisé grep.

Voici le format des événements exportés:

Type de journal: sécurité

Type d'événement: réussite de l'audit

Heure: 10.12.2012 18:33:24

ID d'événement: 680

Nom d'utilisateur: SYSTEM

Ordinateur: YYY

Description de l'événement: tentative d'ouverture de session par: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Compte d'ouverture de session: XXX Station de travail source: YYY Code d'erreur: 0x0

==================================================

==================================================

Extrayez d'abord toutes les tentatives d'ouverture de session par l'utilisateur XXX.

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

Cela filtrera les tentatives d'ouverture de session par l'utilisateur XXX et l'imprimera dans log2.txt. L'option -B 4 grep est nécessaire car les informations que nous recherchons (heure de connexion) sont stockées 4 lignes au-dessus de la ligne qui contient le modèle que nous recherchons (nom d'utilisateur).

D: Extraire les temps de connexion de log2.txt

$ grep "Time" log2.txt > log3.txt

Maintenant log3.txt répertorie toutes les heures de connexion pour un utilisateur donné:

Heure: 10.12.2012 14:12:32

Heure: 7.12.2012 16:20:46

Heure: 5.12.2012 19:22:45

Heure: 5.12.2012 18:57:55

Une solution plus simple existe probablement mais je n'ai pas pu la trouver, donc cela a dû faire l'affaire pour moi.

celicni
la source
0

Essayez d'utiliser l' onglet de filtre XML et spécifiez les éléments suivants:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>
Janis S.
la source