从 Windows 事件日志导出登录/注销事件

在我看来，如果您真的想要实时数据，那么回到登录/注销脚本会更糟糕。如果您需要客户端计算机的 IP 地址，并且只获取计算机的名称，为什么不简单地在脚本中对其进行 nslookup？根据您使用的脚本语言，甚至可能有一个内置函数来执行查找。

我确信很多人会有不同的想法，但如果您确实想解析事件日志，无论是出于这个原因还是其他原因，Perl 不仅拥有模块，而且在处理数据方面也无可匹敌。如果您选择这条路，无论您选择使用哪种语言，我建议您将您感兴趣的数据发送到数据库，这样就可以更轻松地对其进行操作、搜索等。同样，Perl 使这一切变得简单。

PowerShell（保存 Get-LogonFailures.ps1 并运行）

param (
  $ComputerName = $Env:ComputerName,
  $Records = 10
)
function Get-FailureReason {
  Param($FailureReason)
    switch ($FailureReason) {
      '0xC0000064' {"Account does not exist"; break;}
      '0xC000006A' {"Incorrect password"; break;}
      '0xC000006D' {"Incorrect username or password"; break;}
      '0xC000006E' {"Account restriction"; break;}
      '0xC000006F' {"Invalid logon hours"; break;}
      '0xC000015B' {"Logon type not granted"; break;}
      '0xc0000070' {"Invalid Workstation"; break;}
      '0xC0000071' {"Password expired"; break;}
      '0xC0000072' {"Account disabled"; break;}
      '0xC0000133' {"Time difference at DC"; break;}
      '0xC0000193' {"Account expired"; break;}
      '0xC0000224' {"Password must change"; break;}
      '0xC0000234' {"Account locked out"; break;}
      '0x0' {"0x0"; break;}
      default {"Other"; break;}
  }
}
Get-EventLog -ComputerName $ComputerName -LogName 'security'
   -InstanceId 4625 -Newest $Records |
  select @{Label='Time';Expression={$_.TimeGenerated.ToString('g')}},
    @{Label='User Name';Expression={$_.replacementstrings[5]}},
    @{Label='Client Name';Expression={$_.replacementstrings[13]}},
    @{Label='Client Address';Expression={$_.replacementstrings[19]}},
    @{Label='Server Name';Expression={$_.MachineName}},
    @{Label='Failure Status';Expression={Get-FailureReason
       ($_.replacementstrings[7])}},
    @{Label='Failure Sub Status';Expression={Get-FailureReason
       ($_.replacementstrings[9])}}

当然，您可以将其传输到 logstash，以便使用 logstash 的 Windows 客户端进行集中管理，或者传输到 Azure Monitor 或 Solarwinds 等管理软件。顺便说一句，事件永远不会是实时的。