Zählen von Windows-Benutzern, die sich bei einem Server angemeldet haben

Question 1

Dies geschieht manuell und nicht über ein Programm, aber Sie können in der Ereignisanzeige einen Filter erstellen, der nur Ihre Anmeldeereignisse anzeigt. Klicken Sie mit der rechten Maustaste auf den Custom ViewsOrdner und wählen Sie die Create Custom ViewOption. Leider müssen Sie für diesen Filter die XML bearbeiten. So würde die XML für den Filter aussehen:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
    </Select>
    <Suppress Path="Security"> 
       *[EventData[Data[@Name='TargetDomainName'] and  (Data = 'Window Manager')]]
    </Suppress> 
  </Query>
</QueryList>

Möglicherweise möchten Sie dies bearbeiten, um auch Anmeldetyp 7 einzuschließen (Entsperren einer gesperrten Sitzung). Weitere Informationen zu Anmeldetypcodes finden Sie hier:

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Beachten Sie, dass NICHT nach Datumsbereich gefiltert wird: nur nach Anmeldungen. Wenn Sie diesen Teil jedoch eingegrenzt haben, können Sie den Datumsbereich in der Ereignisanzeige ganz einfach manuell durchsuchen.

Leider funktionierte dieser Filter bei mir bei der Nutzung der Option „Mit einem anderen Computer verbinden“ nicht, auch nicht bei ausgeschalteter Firewall.

Answer

Dies geschieht manuell und nicht über ein Programm, aber Sie können in der Ereignisanzeige einen Filter erstellen, der nur Ihre Anmeldeereignisse anzeigt. Klicken Sie mit der rechten Maustaste auf den Custom ViewsOrdner und wählen Sie die Create Custom ViewOption. Leider müssen Sie für diesen Filter die XML bearbeiten. So würde die XML für den Filter aussehen:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
    </Select>
    <Suppress Path="Security"> 
       *[EventData[Data[@Name='TargetDomainName'] and  (Data = 'Window Manager')]]
    </Suppress> 
  </Query>
</QueryList>

Möglicherweise möchten Sie dies bearbeiten, um auch Anmeldetyp 7 einzuschließen (Entsperren einer gesperrten Sitzung). Weitere Informationen zu Anmeldetypcodes finden Sie hier:

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Beachten Sie, dass NICHT nach Datumsbereich gefiltert wird: nur nach Anmeldungen. Wenn Sie diesen Teil jedoch eingegrenzt haben, können Sie den Datumsbereich in der Ereignisanzeige ganz einfach manuell durchsuchen.

Leider funktionierte dieser Filter bei mir bei der Nutzung der Option „Mit einem anderen Computer verbinden“ nicht, auch nicht bei ausgeschalteter Firewall.

Question 2

Es gibt keinen einfachen Weg. Das Durchforsten der Sicherheitsprotokolle ist das Erste, was mir in den Sinn kommt. Sie suchen nach der Ereignis-ID 4624. Achten Sie auf den Anmeldetyp (2,10,11, wenn Sie interaktive Anmeldungen zählen möchten).

Abhängig davon, wie schnell Sicherheitsprotokolleinträge generiert werden und wie groß Ihr Protokoll ist, wird das Protokoll möglicherweise vor Ablauf des 30-Tage-Zyklus überschrieben.

Es ist besser, ein Anmeldeskript zu erzwingen, das die Zählung an einer zentralen Stelle durchführt.

Answer

Es gibt keinen einfachen Weg. Das Durchforsten der Sicherheitsprotokolle ist das Erste, was mir in den Sinn kommt. Sie suchen nach der Ereignis-ID 4624. Achten Sie auf den Anmeldetyp (2,10,11, wenn Sie interaktive Anmeldungen zählen möchten).

Abhängig davon, wie schnell Sicherheitsprotokolleinträge generiert werden und wie groß Ihr Protokoll ist, wird das Protokoll möglicherweise vor Ablauf des 30-Tage-Zyklus überschrieben.

Es ist besser, ein Anmeldeskript zu erzwingen, das die Zählung an einer zentralen Stelle durchführt.

Zählen von Windows-Benutzern, die sich bei einem Server angemeldet haben

Antwort1

Antwort2

verwandte Informationen