키보드에서 비밀번호를 입력하여 로그인한 사용자(나)에 해당하는 로그를 보안 이벤트 로그에서 필터링하려고 합니다. PC를 켠 후 로그인뿐만 아니라 화면 잠금 해제도 감지하고 싶습니다.
이 문제를 담당하는 이벤트 ID는 4624입니다.
내 문제는 로그인이 발생할 때마다 생성되는 이벤트 ID가 많다는 것입니다.
이를 필터링하기 위해 모든 4624 이벤트 ID의 XML에서 다음을 확인합니다.
의 경우
"LogonType" == 2두 번째 유형이 대화형 키보드/화면 로그온에 할당됩니다.이면
"TargetUsername" == Myusername다른 서비스에서 시작된 모든 로그온 이벤트가 제거됩니다.이면
"LogonGuid" != "00000000-0000-0000-0000-000000000000"내 이름도 있고 0이 아닌 ID"TargetUsername"로 로그인한 후 몇 밀리초 이내에 발생하는 로그인 이벤트의 중복 복사본이 제거됩니다.GUID
부팅 후 로그인 이벤트가 누락되는 것처럼 보이기 때문에 이것이 올바른 접근 방식인지 확실하지 않습니다. 종료 후 처음 로그인할 당시의 이벤트 중 세 가지 조건을 모두 만족하는 이벤트는 하나도 없었습니다.
오늘 9시 30분경에 4624개의 이벤트가 배열되었지만 내 기준에 맞는 이벤트는 하나도 없었습니다. 다음은 내 로그인/아웃 추출입니다. 사이에 로그인이 없는 두 개의 연속 로그아웃 이벤트가 있습니다. 그래도 9시 30분쯤에 로그인했어요.
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
LogonType값이 인 이벤트가 있지만 2is 인 TargetUserName동시에 올바른 사용자 이름(mne) 이 UMFD-0인 다른 이벤트가 있습니다 .TargetUserNameLogonType11
재부팅해서 다시 찾아봤는데 이번에 그 3가지 필터를 만족하는 이벤트가 있었네요. 이것이 하나의 문제인지 아니면 내 이해가 틀렸을 가능성이 더 높은지 잘 모르겠습니다.
Windows 이벤트 ID를 사용하여 키보드로 로그인한 시간을 찾으려면 스크립트를 어떻게 구성해야 합니까?
감사해요!
답변1
모든 키보드 로그인이 이벤트 뷰어에서 유형 2의 이벤트 4624로 나타나는 것은 아니기 때문에 내 필터링 접근 방식은 부분적으로만 올바른 것 같습니다. 아래는 설명과 함께 로그온 유형 표입니다.궁극적인창문 보안.
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
대화형 로그인의 정확한 정의는 상충되는 정의를 찾았기 때문에 여전히 약간 모호하지만 유형 10과 11의 설명에는 대화형이 있습니다. 유형 11은 네트워크에 연결되지 않은 상태에서 워크스테이션에 로그인할 때 발생합니다.
해당 이벤트와 유형을 필터에 추가하면 모든 로그인 이벤트를 찾아낼 수 있습니다.