Jump to content

Auswertung des Event-Log bzgl. Benutzeranmeldungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ich gehe mal davon aus, dass jede benutzeranmeldung egal ob an der console oder am terminal, egal ob erfolgreich oder nicht, im Event-Log protokolliert wird.

 

ich möchte nun eine auswertung erschaffen, ohne in der ereignisanzeige wühlen zu müssen.

 

meine frage ist nun:

kann man eine solche auswertung mit einem script veranlassen, welches dann bspw. eine txt datei generiert worin dann alle benutzeranmeldungen mit zeitstempel stehen?

 

habe schon mal von einem eventquery.vbs gelesen, aber dies lief unendlich langsam und lähmte den server währenddessen extrem.

habe auch schon mal von 3.anbietersoftware gelesen, welche ich aber doch für den zweck recht teuer finde.

 

wenn mir jemand helfen kann, wäre ich sehr dankbar..

gruß, heysa

Link zu diesem Kommentar

Wie gesagt wollte ich die erfolgreichen Anmeldungen auswerten und eventuell noch die Abmeldungen zum errechnen der Logon Zeit.

 

Habe nach langem googlen und probieren festgestellt, dass...

 

...ID 528 für Anmeldungen...

...ID 551 für Abmeldungen...

 

...zu sein scheint...

 

bei versuchen auf einem produktiv server bekomm ich aber noch ausgaben über logins die definitiv nicht an console oder terminal sein können sondern nur als batch

 

Frage also nochmal:

Welche Events genau zeigen eine Anmeldung bzw. Abmeldung über Console bzw. Terminal an?

 

wenns jemand weiss, wär super... danke im voraus

gruß, heysa

Link zu diesem Kommentar

gegoogled hab ich schon, dadurch kam ich ja auf die 528

allerdings hat mir 540 nicht so gefallen..... da kamen viel zu viele ergebnisse

 

der link war trotzdem schonmal ganz hilfreich...

 

folgendes habe ich zur auswetung ausgeführt:

LogParser -i:EVT "SELECT TimeGenerated AS Date, EXTR ACT_TOKEN(Strings,0,'|') AS Account, EXTRACT_TOKEN(Strings,13,'|') AS Client INTO Report.xml FROM Security WHERE EventID = 528 AND EventType = 8"

 

EventType = 8 steht ja für alle events wo das pwd unverschlüsselt übertragen wurde

EventType = 10 soll ja für alle events stehen wo der user über remote terminal angemeldet wurde

jedoch bekomme ich bei er angabe EventType = 10 keine xml datei erstellt

warum??

 

für hilfen sehr zu dank verpflichtet.....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...