Actualmente estoy tratando de descubrir cómo ver el historial de inicio de sesión de un usuario en una máquina específica. Este comando debe ejecutarse localmente para ver cuánto tiempo pasa el consultor conectado a un servidor.
Actualmente solo tengo conocimiento de este comando que extrae el EventLog completo, pero necesito filtrarlo para que pueda mostrarse por usuario o por usuario específico.
Get-EventLog System -Fuente Microsoft-Windows-WinLogon -Después (Get-Date).AddDays(-5) -ComputerName $env:computername
Respuesta1
Saliendo de la discusión en los comentarios, puede buscar en el Registro de eventos usando Powershell.
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLogle permite acceder al registro de eventos, específicamente a los registros de seguridad- El primero
Where-Objectespecifica que desea cualquier registro que sea más reciente que la fecha proporcionada. - El segundo
Where-Objectespecifica los dos ID de evento que le interesan. Select-Objectsolo nos permite devolver las columnas que nos interesan tener en la salida
Es probable que necesite ejecutar esto desde una instancia elevada de Powershell, ya que accede al registro de Windows.