我如何追踪成功的登录和断开连接？

Question

如果有人偶然发现这一点，这对我有帮助：

#Win Event Filters/Properties
$LogFilter = @{LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
            ID = 21, 23, 24, 25
            }

$ActionProperty = @{Name='Action';Expression={
                if ($_.ID -eq '21'){"logon"}
                if ($_.ID -eq '22'){"Shell start"}
                if ($_.ID -eq '23'){"logoff"}
                if ($_.ID -eq '24'){"disconnected"}
                if ($_.ID -eq '25'){"reconnection"}
                }}


#Get Records
$LoginRecords = Get-WinEvent -FilterHashtable $LogFilter | Where-Object{($_.TimeCreated -ge (Get-Date).AddMinutes(-600))} | Select-Object $ActionProperty,$UserProperty,MachineName,$TimeProperty | Sort-Object -Property TimeCreated -Descending -Unique

查找登录和注销时，日志 Microsoft Windows Terminal Services/ Local Session Manager/ Operational 最有帮助。与其他日志相比，此日志的事件较少，因此在大多数情况下，它更清晰、更易于理解。如果您使用 powershell 来审核这些内容，请确保使用开关-Unique来确保您只获取一个登录事件，而不是有时与之一起生成的其他两个或三个事件。

Answer 1

如果有人偶然发现这一点，这对我有帮助：

#Win Event Filters/Properties
$LogFilter = @{LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
            ID = 21, 23, 24, 25
            }

$ActionProperty = @{Name='Action';Expression={
                if ($_.ID -eq '21'){"logon"}
                if ($_.ID -eq '22'){"Shell start"}
                if ($_.ID -eq '23'){"logoff"}
                if ($_.ID -eq '24'){"disconnected"}
                if ($_.ID -eq '25'){"reconnection"}
                }}


#Get Records
$LoginRecords = Get-WinEvent -FilterHashtable $LogFilter | Where-Object{($_.TimeCreated -ge (Get-Date).AddMinutes(-600))} | Select-Object $ActionProperty,$UserProperty,MachineName,$TimeProperty | Sort-Object -Property TimeCreated -Descending -Unique

查找登录和注销时，日志 Microsoft Windows Terminal Services/ Local Session Manager/ Operational 最有帮助。与其他日志相比，此日志的事件较少，因此在大多数情况下，它更清晰、更易于理解。如果您使用 powershell 来审核这些内容，请确保使用开关-Unique来确保您只获取一个登录事件，而不是有时与之一起生成的其他两个或三个事件。

我如何追踪成功的登录和断开连接？

答案1

相关内容