![使用 WindowsLogon [Powershell] 查看使用者登入記錄](https://rvso.com/image/1507406/%E4%BD%BF%E7%94%A8%20WindowsLogon%20%5BPowershell%5D%20%E6%9F%A5%E7%9C%8B%E4%BD%BF%E7%94%A8%E8%80%85%E7%99%BB%E5%85%A5%E8%A8%98%E9%8C%84.png)
我目前正在嘗試弄清楚如何查看特定電腦的使用者登入歷史記錄。此命令旨在在本地運行,以查看顧問登入伺服器的時間。
我目前只了解這個提取完整事件日誌的命令,但我需要對其進行過濾,以便它可以顯示每個使用者或特定使用者。
Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-5) -ComputerName $env:電腦名
答案1
離開評論中的討論,您可以使用 Powershell 搜尋事件日誌。
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLog允許您存取事件日誌,特別是安全日誌- 第一個
Where-Object指定您想要比提供的日期更新的任何記錄 - 第二個
Where-Object指定您感興趣的兩個事件 ID Select-Object讓我們只返回輸出中我們感興趣的列
您可能需要從 Powershell 的提升執行個體執行此命令,因為它正在存取 Windows 登錄。