Windows 事件 ID 6011

Windows 事件 ID 6011

我正在研究如何追踪计算机的重命名时间和重命名者。

我知道您可以从一台计算机中提取事件日志,但我需要一份在两周内针对超过 1000 台 PC 生成的报告:

  • 谁重新命名了计算机
  • 当它完成时。

或者它是否被从域中删除,以及由谁在何时删除。

这可以在服务器端完成吗?如果可以,怎么做?

答案1

您可以通过几种方式执行此审核 - 首先是获取相关两周信息的更耗时的方法来:

  • 从您的 PDC,使用 Windows Server Csved 工具导出所有 AD 用户和计算机。相应的命令语法是csved -f ADfilename.csv -r objectClass=user并将导出的 csv 导入到 excel 文件,并按列过滤数据(注意:导入时将分隔符设置为逗号和制表符,以便在过滤之前获得适当的标题)。
  • 同样,使用与上述相同的选项将 PDC 日志文件从 \Windows\Debug\netsetup.log 导入到第二个电子表格中。从那里,您可以对两个电子表格进行比较(file1.csv -> file2.csv),还可以过滤相应的数据。使用 OpenOffice Calc 可以轻松完成此操作。

示例事件数据 - 按日期/时间等进行过滤。

  • 执行比较时,您可以从实际服务器日志和当前 AD 计算机和用户列表中检查相应的事件。根据您的要求,重点关注每台计算机的域可用性/不可用性的 NETLOGON 事件 (id 5719) 和每个用户的域名更改的 NetBIOS 事件 (id 6011)。

笔记:这部分可能需要一段时间,因为您需要搜索和过滤所有相应的事件,同时比较和重新合并以找到 NetBIOS 名称更改中的所有更改。

完成后,您可以使用以下程序/脚本示例对您的 AD 服务器事件和/或公司计算机进行长期监控:

  • 使用 Powershell 创建永久事件消费者在您的服务器上监控相关服务的变化。这是一篇关于创建可直接在您的服务器上使用的脚本化 WMI 事件消费者的有趣文章。根据 Microsoft 博客:

通过脚本创建永久事件消费者有两个很酷的地方。首先,它可以轻松地远程执行。因此,我可以用脚本定位多台机器,并在远程机器上创建事件消费者。第二个很酷的地方是永久事件消费者很酷。它们监视并响应事件,而无需运行脚本。说说很酷的事情!我一次运行一个脚本,然后我的计算机将始终查找事件并对其做出响应。

  • 使用第三方工具(例如 SolarWinds WMI Monitor)查看域控制器上的正在运行的事件状态。设置以下 WMI 命名空间类的监控: Win32_NTDomain、Win32_LogonSession、Win32_ComputerSystem

找到有关 WMI NetBIOS 类别的更多信息这里。

答案2

你想要的是源发起订阅。这涉及一个 GPO,用于将目标计算机指向收集器并在收集器上配置事件收集器服务。一旦开始接收事件,您就可以过滤到所需的特定事件。

答案3

您可以通过查看C:\Windows\Debug\netsetup.log此日志显示域加入、脱离和重命名来获取时间部分。

6011 事件未报告 who 部分。该事件仅在重命名后重新启动时写入。除非您使用 Splunk 之类的工具主动将目标中的事件保留到长期存档中,否则这些事件可能不再出现在单个目标事件日志中。如果您正在收集事件,请进行测试重命名,并在重新启动之前查看在您使用用户 ID 重命名后是否有不同的事件写入。

答案4

我将使用我的脚本来完成这项任务。

https://gallery.technet.microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb3723

基本上,它会查找过去 X 天内的所有信息并将其放入 HTML5/CSS3 视图中。

例如,您可以每天将其作为任务运行

相关内容