セキュリティ イベント ログから、ユーザー (私) がキーボードでパスワードを入力してログインしたことに対応するログを除外しようとしています。PC の電源を入れた後のログインだけでなく、画面のロック解除も検出できるようにしたいと思います。
これの原因となるイベント ID は 4624 だと思います。
問題は、ログインが発生するたびに多数のイベント ID が作成されることです。
これを除外するには、4624 個のイベント ID すべてを XML でチェックします。
の場合
"LogonType" == 2、2 番目のタイプは対話型キーボード/画面ログオンに割り当てられます。の場合
"TargetUsername" == Myusername、他のサービスによって開始されたすべてのログオン イベントが削除されます。の場合
"LogonGuid" != "00000000-0000-0000-0000-000000000000"、これは、私の名前が であり、ゼロ以外の ID"TargetUsername"でのログインから数ミリ秒以内に発生するログイン イベントの冗長なコピーを削除します。GUID
この方法を使用すると起動後のログイン イベントが失われるように見えるため、これが正しい方法であるかどうかはわかりません。シャットダウン後に初めてログインした時のイベントのいずれも、3 つの条件をすべて満たしていません。
今日、午前 9 時 30 分頃に 4624 件のイベントが発生しましたが、基準に合うものはありませんでした。以下はログイン/ログアウトの抜粋です。ログアウト イベントが 2 回連続して発生していますが、その間にログインは発生していません。ただし、午前 9 時 30 分頃にはログインしています。
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
LogonType値がであるイベントがあります2が、それは ですTargetUserName。UMFD-0同時に、正しいユーザー名 (mne) が である別のイベントがありますが、TargetUserNameそれはLogonTypeです11。
再起動してもう一度検索してみましたが、今回は 3 つのフィルターを満たすイベントがありました。これが 1 回限りのものなのか、それとも私の理解が大きく間違っているのかはわかりません。
Windows イベント ID を使用してキーボードからログインした時刻を見つけるためのスクリプトをどのように構成すればよいですか?
ありがとう!
答え1
私のフィルタリング方法は部分的にしか正しくないようです。すべてのキーボードログインがイベントビューアにタイプ2のイベント4624として表示されるわけではないからです。以下はログオンタイプとその説明の表です。表の出典は究極のウィンドウセキュリティ。
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
対話型ログインの正確な定義は、矛盾する定義が見つかるため、私にとってはまだ少し曖昧ですが、タイプ 10 と 11 の説明には「対話型」とあります。タイプ 11 は、ネットワークに接続していないときにワークステーションにログインすると発生します。
そのイベントとタイプをフィルターに追加することで、すべてのログイン イベントを検出できるようになりました。