我正在尝试检测 Windows DC (Win Server 2012) 中的用户登录事件,但我遇到了以下问题:
事件4624并不确定,因为它可能是自动生成的。例如,当组策略自动刷新时。
本地计算机可能已缓存用户的凭据,因此 DC 未检测到用户登录。
我的主要目标是检测用户何时在工作时间以外访问他的计算机,即用户在下午 22 点到早上 7 点之间进行活动。此外,我唯一的数据源是域控制器中生成的 .evtx 文件。
windows login event-log logging windows-server-2012
event-log ×1
logging ×1
login ×1
windows ×1
windows-server-2012 ×1