В настоящее время я пытаюсь выяснить, как просмотреть историю входов пользователей на определенную машину. Эта команда должна запускаться локально, чтобы посмотреть, сколько времени консультант проводит, войдя на сервер.
В настоящее время я знаю только об этой команде, которая извлекает полный EventLog, но мне нужно отфильтровать его, чтобы он мог отображать данные по каждому пользователю или по конкретному пользователю.
Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-5) -ComputerName $env:computername
решение1
Исходя из обсуждения в комментариях, вы можете выполнить поиск в журнале событий с помощью Powershell.
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLogпозволяет получить доступ к журналу событий, в частности к журналам безопасности- Первый вариант
Where-Objectуказывает, что вам нужны все записи, которые появились позже указанной даты. - Во втором поле
Where-Objectуказаны два интересующих вас идентификатора событий. Select-Objectпозволяет нам возвращать только те столбцы, которые нам интересны в выводе
Скорее всего, вам придется запустить это из экземпляра Powershell с повышенными правами, поскольку это приведет к доступу к реестру Windows.