Atualmente, estou tentando descobrir como visualizar o histórico de login de um usuário em uma máquina específica. Este comando deve ser executado localmente para visualizar quanto tempo o consultor passa conectado a um servidor.
Atualmente, só tenho conhecimento deste comando que extrai o EventLog completo, mas preciso filtrá-lo para que possa ser exibido por usuário ou por um usuário específico.
Sistema Get-EventLog -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-5) -ComputerName $env:computername
Responder1
Saindo da discussão nos comentários, você pode pesquisar o log de eventos usando o Powershell.
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLogpermite que você acesse o log de eventos, especificamente os logs de segurança- O primeiro
Where-Objectespecifica que você deseja quaisquer registros mais recentes que a data fornecida - O segundo
Where-Objectespecifica os dois IDs de evento nos quais você está interessado Select-Objectnos permite retornar apenas colunas que estamos interessados em ter na saída
Provavelmente, você precisará executar isso a partir de uma instância elevada do Powershell, pois acessa o registro do Windows.