我目前正在尝试弄清楚如何查看用户登录特定机器的历史记录。此命令旨在在本地运行,以查看顾问登录服务器所花费的时间。
我目前只知道这个提取完整 EventLog 的命令,但我需要对其进行过滤,以便它可以显示每个用户或特定用户。
获取事件日志系统-源 Microsoft-Windows-WinLogon-After(获取日期).AddDays(-5)-计算机名称 $env:计算机名称
答案1
根据评论中的讨论,您可以使用 Powershell 搜索事件日志。
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLog
允许您访问事件日志,特别是安全日志- 第一个
Where-Object
指定你想要比提供的日期更新的任何记录 - 第二个
Where-Object
指定您感兴趣的两个事件 ID Select-Object
让我们只返回输出中我们感兴趣的列
您可能需要从 Powershell 的提升实例运行它,因为这正在访问 Windows 注册表。