Estou tentando filtrar do log de eventos de segurança os logs que correspondem ao usuário (eu) efetuando login digitando a senha no teclado. Gostaria que detectasse o desbloqueio da tela e também o login após ligar o PC.
Acredito que o Event ID responsável por isso seja 4624.
Meu problema é que há uma infinidade desses IDs de evento criados sempre que ocorre um login.
Para filtrar isso, verifico o XML de todos os 4624 IDs de eventos para:
Se
"LogonType" == 2, o tipo número dois será atribuído ao logon interativo no teclado/tela.Se
"TargetUsername" == Myusername, isso removerá todos os eventos de logon iniciados por outros serviços.Se
"LogonGuid" != "00000000-0000-0000-0000-000000000000", isso remove cópias redundantes do evento de login que também tem meu nome como"TargetUsername"e acontece dentro de alguns milissegundos de um login comGUIDID diferente de zero.
Não tenho certeza se esta é a abordagem correta, pois ao usá-la parece perder o evento de login após a inicialização. Nenhum dos eventos na época em que fiz login pela primeira vez após o desligamento atendeu a todas as três condições.
Hoje, por volta das 9h30, houve uma série de 4.624 eventos, mas nenhum que atendesse aos meus critérios. Abaixo está meu extrato de login/logout, há dois eventos de logout consecutivos sem login entre eles. Eu fiz o login por volta das 9h30.
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
Há um evento com LogonTypede value 2, mas é is TargetUserName, UMFD-0ao mesmo tempo há outro evento com nome de usuário correto (mne) como mas TargetUserNamethe LogonTypeis 11.
Reiniciei e tentei encontrá-lo novamente e desta vez houve um evento que satisfez esses três filtros. Não tenho certeza se isso foi um erro ou, mais provavelmente, meu entendimento está errado.
Como estruturo meu script para encontrar horários em que efetuei login no teclado usando IDs de eventos do Windows?
Obrigado!
Responder1
Parece que minha abordagem de filtragem está apenas parcialmente correta, pois nem todo login de teclado se manifesta no Visualizador de Eventos como Evento 4624 do tipo 2. Abaixo está uma tabela de Tipos de Logon junto com sua descrição, tabela proveniente desegurança definitiva do Windows.
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
A definição exata de um login interativo ainda é um pouco confusa para mim, pois encontro definições conflitantes, mas os tipos 10 e 11 têm Interativo em sua descrição. O tipo 11 ocorre quando faço login na minha estação de trabalho sem estar conectado à rede.
Adicionar esse evento e tipo ao filtro me permitiu pescar todos os eventos de login.