Die*_*goS 7 windows login event-log logging windows-server-2012
我正在尝试检测 Windows DC (Win Server 2012) 中的用户登录事件,但我遇到了以下问题:
我的主要目标是检测用户何时在工作时间以外访问他的计算机,即用户在下午 22 点到早上 7 点之间进行活动。此外,我唯一的数据源是域控制器中生成的 .evtx 文件。
正如您所说,DC 不会使用缓存的凭据捕获远程计算机上的登录信息,因为计算机可能并不总是物理连接到域。相反,您必须在他的计算机在线时直接检查他的计算机。
您可以在命令提示符处使用事件查看器或 wevtutil 命令来管理远程计算机上的事件日志。
- 启动事件查看器。
- 单击控制台树中的根节点,例如“事件查看器(本地)” 。
- 在“操作”菜单上,单击“连接到另一台计算机”
- 在“另一台计算机”框中,键入远程计算机的名称或 IP 地址。
- (可选)选择以其他用户身份连接,单击设置用户,输入用户名和密码,然后单击确定
- 单击“确定”
搜索事件 4648 - 尝试在他的计算机上使用显式凭据登录 。
正如描述所述,只有当登录使用显式凭据时才会出现这种情况。即使使用已保存的凭据(即:远程桌面)登录或解锁,也会生成此事件。
注意:与任何事件一样,您可以执行额外的过滤来删除任何自动生成的事件(对于 4648 和用户名来说不太常见)。GUI(在“过滤器”选项卡上)提供对某些字段的过滤。使用 XML 选项卡,您可以过滤事件中的任何字段。
| 归档时间: |
|
| 查看次数: |
4330 次 |
| 最近记录: |