找出特定帐户已登录或断开连接会话的所有服务器的名称

Question

遵循粗略的概念验证可能会帮助您入门。想法是使用 Powershell 在事件日志中搜索给定 SID 的登录/注销事件。

(Get-ADUser <username>).SID在 Powershell 中使用查找 SID
在 powershell 中执行

   $query = @"
   <QueryList>
     <Query Id="0" Path="System">
       <Select Path="System">
         *[EventData[Data[@Name='UserSid']='<SID>']]
         and (*[System[(EventID='7001')]] or *[System[(EventID='7002')]])
      </Select>
     </Query>
   </QueryList>
 "@
('server1', 'server2) | % {Get-WinEvent -ComputerName $_ -Filterxml $query -MaxEvents 1}

xml 过滤器仅返回登录/注销事件。通过使用仅选择 1 个事件，您将获得传递给该方法的所有带有登录或注销消息的MaxEvents服务器的列表。登录消息是该 SID 仍处于登录状态的服务器。Get-WinEvent

Answer 1

遵循粗略的概念验证可能会帮助您入门。想法是使用 Powershell 在事件日志中搜索给定 SID 的登录/注销事件。

(Get-ADUser <username>).SID在 Powershell 中使用查找 SID
在 powershell 中执行

   $query = @"
   <QueryList>
     <Query Id="0" Path="System">
       <Select Path="System">
         *[EventData[Data[@Name='UserSid']='<SID>']]
         and (*[System[(EventID='7001')]] or *[System[(EventID='7002')]])
      </Select>
     </Query>
   </QueryList>
 "@
('server1', 'server2) | % {Get-WinEvent -ComputerName $_ -Filterxml $query -MaxEvents 1}

xml 过滤器仅返回登录/注销事件。通过使用仅选择 1 个事件，您将获得传递给该方法的所有带有登录或注销消息的MaxEvents服务器的列表。登录消息是该 SID 仍处于登录状态的服务器。Get-WinEvent

找出特定帐户已登录或断开连接会话的所有服务器的名称

答案1

相关内容