目标:
我希望能够运行每日任务来显示用户登录和注销的时间
环境:
Windows 2008R2 域
迄今采取的行动:
我已通过以下方式启用帐户审计:
- 开始->管理员工具->组策略管理
- 林 -> 域 -> 默认域策略
- 右击 -> 编辑
- 计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略
- 双击审计帐户登录事件
结果:
我注销并重新登录,事件现在被输入到安全日志中。如果我打开事件查看器并查看条目,我可以在“常规”选项卡的“新登录”部分下看到帐户名称。
我的问题:
我需要能够每天将登录和注销信息导出到 csv 文件。
Get-EventLog -LogName Security -instanceID 4624,4634 -after ((get-date).addDays(-1)) | Export-Csv D:\ADReports\test.csv
这将创建一个 CSV 文件,但新登录信息未包括在内。显然用户帐户信息在那里,因为我在事件查看器的事件 ID 中看到了它。
我是否打开了错误的审核?我的 PowerShell 脚本知识很基础。有人能帮我完成这个对我来说很难理解的脚本吗?