我有大约十几台服务器,我希望快速找出一月份期间所有服务器的部分用户的登录/注销时间。
有没有一种快速、简单的方法来获取这些信息(比手动梳理安全日志更快、更容易)?
我宁愿不重复任何工作 - 是否有任何公开发布的工具或脚本已经实现了针对此问题的解决方案?
答案1
有多种方法可以做到这一点,所有方法都涉及对日志应用过滤器,您也可以使用事件日志查看器来执行此操作。
有很多脚本解决方案可以解决此问题,或者您可以使用任何语言创建自己的解决方案。我每晚使用 Perl 处理日志,只抓取过去 24 小时的条目,并将所需数据导出到 MySQL 数据库,然后使用 Access 从中创建报告。
答案2
您可以使用 powershell 进行简单的事件日志转储:
get-eventlog -LogName Security | convertTo-csv > C:\SecurityLogAudit.csv
然后在 Excel 中打开 CSV,解析要查找的事件,然后绘制图表。