Jump to content
Sign in to follow this  
heysa

Auswertung des Event-Log bzgl. Benutzeranmeldungen

Recommended Posts

ich gehe mal davon aus, dass jede benutzeranmeldung egal ob an der console oder am terminal, egal ob erfolgreich oder nicht, im Event-Log protokolliert wird.

 

ich möchte nun eine auswertung erschaffen, ohne in der ereignisanzeige wühlen zu müssen.

 

meine frage ist nun:

kann man eine solche auswertung mit einem script veranlassen, welches dann bspw. eine txt datei generiert worin dann alle benutzeranmeldungen mit zeitstempel stehen?

 

habe schon mal von einem eventquery.vbs gelesen, aber dies lief unendlich langsam und lähmte den server währenddessen extrem.

habe auch schon mal von 3.anbietersoftware gelesen, welche ich aber doch für den zweck recht teuer finde.

 

wenn mir jemand helfen kann, wäre ich sehr dankbar..

gruß, heysa

Share this post


Link to post

cool danke... ich denke das scheint der richtige ansatz zu sein.... werde mich mal schlau probieren

Share this post


Link to post

ja genau das richtige....

 

LogParser ist zwar sehr mächtig, also brauch ich noch Zeit die Bedienung voll zu hacken und somit mein Ziel zu erreichen....

 

aber genau sowas brauchte ich

 

DANKE

DANKE

 

:-)

Share this post


Link to post

Wie gesagt wollte ich die erfolgreichen Anmeldungen auswerten und eventuell noch die Abmeldungen zum errechnen der Logon Zeit.

 

Habe nach langem googlen und probieren festgestellt, dass...

 

...ID 528 für Anmeldungen...

...ID 551 für Abmeldungen...

 

...zu sein scheint...

 

bei versuchen auf einem produktiv server bekomm ich aber noch ausgaben über logins die definitiv nicht an console oder terminal sein können sondern nur als batch

 

Frage also nochmal:

Welche Events genau zeigen eine Anmeldung bzw. Abmeldung über Console bzw. Terminal an?

 

wenns jemand weiss, wär super... danke im voraus

gruß, heysa

Share this post


Link to post

gegoogled hab ich schon, dadurch kam ich ja auf die 528

allerdings hat mir 540 nicht so gefallen..... da kamen viel zu viele ergebnisse

 

der link war trotzdem schonmal ganz hilfreich...

 

folgendes habe ich zur auswetung ausgeführt:

LogParser -i:EVT "SELECT TimeGenerated AS Date, EXTR ACT_TOKEN(Strings,0,'|') AS Account, EXTRACT_TOKEN(Strings,13,'|') AS Client INTO Report.xml FROM Security WHERE EventID = 528 AND EventType = 8"

 

EventType = 8 steht ja für alle events wo das pwd unverschlüsselt übertragen wurde

EventType = 10 soll ja für alle events stehen wo der user über remote terminal angemeldet wurde

jedoch bekomme ich bei er angabe EventType = 10 keine xml datei erstellt

warum??

 

für hilfen sehr zu dank verpflichtet.....

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...