如何从 4624 事件日志数据中过滤掉用户键盘登录时间?

tag-icon tag-icon windows keyboard script login event-log
如何从 4624 事件日志数据中过滤掉用户键盘登录时间?

我正在尝试从安全事件日志中过滤掉那些与用户(我)通过在键盘上输入密码登录相对应的日志。我希望它能够检测到解锁屏幕以及打开 PC 后登录。

我相信导致此事件的事件 ID 是 4624。

我的问题是每次登录时都会创建大量事件 ID。

为了过滤掉这些内容,我检查了所有 4624 个事件 ID 的 XML 是否包含以下内容:

  1. 如果"LogonType" == 2,则第二种类型分配给交互式键盘/屏幕登录。

  2. 如果"TargetUsername" == Myusername,这将删除由其他服务发起的所有登录事件。

  3. 如果"LogonGuid" != "00000000-0000-0000-0000-000000000000",这将删除登录事件的冗余副本,这些副本也具有我的名字,并且在ID 非零的"TargetUsername"登录后几毫秒内发生。GUID

我不确定这是否是正确的方法,因为使用它似乎会错过启动后的登录事件。关机后第一次登录时发生的事件都没有满足所有三个条件。

今天 9:30 左右发生了 4624 起事件,但没有一个符合我的标准。下面是我的登录/退出摘录,有两个连续的退出事件,中间没有登录。不过我确实在 9:30 左右登录过。

Log in:   12-10T13:45:09.92629
Log out:  12-10T13:06:44.29530
Log in:   12-10T09:59:15.51808
Log out:  12-10T09:48:59.63086 <--
Log out:  12-07T17:36:59.08875 <--
Log in:   12-07T15:12:21.93870
Log out:  12-07T15:10:52.82871
Log in:   12-07T14:05:37.53658
Log out:  12-07T13:57:03.61220
Log in:   12-07T13:35:47.04114
Log out:  12-07T13:35:33.83213
Log in:   12-07T13:19:58.33986
Log out:  12-07T13:19:49.87156
Log in:   12-07T12:54:40.80056
Log out:  12-07T12:15:52.70091
Log in:   12-07T09:50:54.37527
Log out:  12-07T09:33:20.24622
Log in:   12-07T09:32:22.36908
Log out:  12-06T17:10:28.06655
Log in:   12-06T16:37:02.14689
Log out:  12-06T16:26:36.92315
Log in:   12-06T12:58:48.43339
Log out:  12-06T12:04:33.35497

有一个事件的LogonType值为2,但它的TargetUserNameUMFD-0,同时还有另一个事件的值为正确的用户名(mne)TargetUserName但的LogonType11

我重新启动并尝试再次查找,这次有一个事件满足这三个过滤器。我不确定这是不是个例,或者更有可能是我的理解完全错误。

我如何构建脚本来查找使用 Windows 事件 ID 从键盘登录的时间?

谢谢!

答案1

看来我的过滤方法只是部分正确,因为并非每个键盘登录都会在事件查看器中显示为类型 2 的事件 4624。下面是登录类型及其说明的表格,表格来源于终极Windows安全

Logon                       Description
Type     
-----------------------------------------------------------------------------------------------------
2    Interactive (logon at keyboard and screen of system)
3    Network (i.e. connection to shared folder on this computer from elsewhere on network)
4    Batch (i.e. scheduled task)
5    Service (Service startup)
7    Unlock (i.e. unnattended workstation with password protected screen saver)
8    NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates 
     a logon to IIS with "basic authentication") 
9    NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  
     This logon type does not seem to show up in any events.  If you want to track users attempting 
     to logon with alternate credentials see 4648.  MS says "A caller cloned its  current token and 
     specified new credentials for outbound connections. The new logon session has  the same local 
     identity, but uses different credentials for other network connections."
10   RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11   CachedInteractive (logon with cached domain credentials such as 
     when logging on to a laptop when away from the network)

交互式登录的确切定义对我来说仍然有点模糊,因为我发现有相互矛盾的定义,但类型 10 和 11 的描述中都有交互式。当我在未连接到网络的情况下登录我的工作站时,就会发生类型 11。

将该事件和类型添加到过滤器使我能够找出所有登录事件。

相关内容