Я пытаюсь отфильтровать из журнала событий безопасности те журналы, которые соответствуют входу пользователя (меня) путем ввода пароля на клавиатуре. Я хотел бы, чтобы он обнаруживал разблокировку экрана, а также вход в систему после включения ПК.
Я полагаю, что идентификатор события, ответственного за это, — 4624.
Моя проблема в том, что при каждом входе в систему создается множество таких идентификаторов событий.
Чтобы отфильтровать это, я проверяю XML всех 4624 идентификаторов событий на наличие:
Если
"LogonType" == 2, то тип номер два назначается интерактивному входу в систему с помощью клавиатуры/экрана.Если
"TargetUsername" == Myusername, то удаляются все события входа в систему, инициированные другими службами.Если
"LogonGuid" != "00000000-0000-0000-0000-000000000000", то это удаляет избыточные копии события входа в систему, которые также содержат мое имя"TargetUsername"и происходят в течение нескольких миллисекунд после входа в систему сGUIDидентификатором, который не равен нулю.
Я не уверен, является ли это правильным подходом, так как при его использовании, похоже, пропускается событие входа после загрузки. Ни одно из событий около того времени, когда я вошел в систему в первый раз после выключения, не удовлетворяло всем трем условиям.
Сегодня около 9:30 был массив из 4624 событий, но ни одно из них не соответствовало моим критериям. Ниже приведена выдержка из моего входа/выхода, есть два последовательных события выхода без входа между ними. Хотя я вошел около 9:30.
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
Есть событие со LogonTypeзначением 2, но оно равно TargetUserName, UMFD-0в то же время есть другое событие с правильным именем пользователя (mne), но TargetUserNameоно LogonTypeравно 11.
Я перезапустил и попытался найти его снова, и на этот раз было событие, которое удовлетворяло этим трем фильтрам. Я не уверен, было ли это единичным случаем или, что более вероятно, мое понимание сильно неверно.
Как структурировать скрипт, чтобы найти время входа в систему с клавиатуры, используя идентификаторы событий Windows?
Спасибо!
решение1
Похоже, мой подход к фильтрации верен лишь отчасти, поскольку не каждый вход в систему с клавиатуры отображается в средстве просмотра событий как событие 4624 типа 2. Ниже приведена таблица типов входа вместе с их описанием, таблица взята изultimatewindowssecurity.
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
Точное определение интерактивного входа для меня все еще немного размыто, поскольку я нахожу противоречивые определения, но типы 10 и 11 имеют в своем описании слово Interactive. Тип 11 происходит, когда я вхожу в свою рабочую станцию, не подключенную к сети.
Добавление этого события и типа в фильтр позволило мне выловить все события входа в систему.