![使用 WindowsLogon [Powershell] 查看用户登录历史记录](https://linux22.com/image/1507406/%E4%BD%BF%E7%94%A8%20WindowsLogon%20%5BPowershell%5D%20%E6%9F%A5%E7%9C%8B%E7%94%A8%E6%88%B7%E7%99%BB%E5%BD%95%E5%8E%86%E5%8F%B2%E8%AE%B0%E5%BD%95.png)
我目前正在尝试弄清楚如何查看用户登录特定机器的历史记录。此命令旨在在本地运行,以查看顾问登录服务器所花费的时间。
我目前只知道这个提取完整 EventLog 的命令,但我需要对其进行过滤,以便它可以显示每个用户或特定用户。
获取事件日志系统-源 Microsoft-Windows-WinLogon-After(获取日期).AddDays(-5)-计算机名称 $env:计算机名称
答案1
根据评论中的讨论,您可以使用 Powershell 搜索事件日志。
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
Get-EventLog允许您访问事件日志,特别是安全日志- 第一个
Where-Object指定你想要比提供的日期更新的任何记录 - 第二个
Where-Object指定您感兴趣的两个事件 ID Select-Object让我们只返回输出中我们感兴趣的列
您可能需要从 Powershell 的提升实例运行它,因为这正在访问 Windows 注册表。