主页 / computer / 问题 / 1468905
Accepted
techguy1029
Asked: 2019-08-08 13:14:31 +0800 CST

如何跟踪成功的登录和断开连接?

  • 772

我试图跟踪用户每次远程访问计算机以及每次断开连接的时间。我正在使用 Powershell 来执行此操作。这就是我用来做这个的

Get-WinEvent -Computer $env:ComputerName -FilterHashTable @{LogName='Security';ID=4634,4672} | Select-Object @{N='User';E={$_.Properties[1].Value}},TimeCreated,ID,$MachineNameProperty

如果我错了请纠正我,但我的问题是事件 4634也可以申请失败的登录事件。我只想要成功的事件。此外,事件 4672似乎仅在管理员登录时适用,如果我错了,请再次纠正我,但我希望任何用户都能成功登录。如何仅跟踪任何用户的成功登录和断开连接?哪个事件日志最适合这个?我希望日志也能够提供用户信息。事件 ID 4624并不总是提供用户信息。

powershell remote-desktop

1 个回答

  1. Best Answer

    如果有人偶然发现了这一点,这对我有帮助:

    #Win Event Filters/Properties
$LogFilter = @{LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
            ID = 21, 23, 24, 25
            }

$ActionProperty = @{Name='Action';Expression={
                if ($_.ID -eq '21'){"logon"}
                if ($_.ID -eq '22'){"Shell start"}
                if ($_.ID -eq '23'){"logoff"}
                if ($_.ID -eq '24'){"disconnected"}
                if ($_.ID -eq '25'){"reconnection"}
                }}


#Get Records
$LoginRecords = Get-WinEvent -FilterHashtable $LogFilter | Where-Object{($_.TimeCreated -ge (Get-Date).AddMinutes(-600))} | Select-Object $ActionProperty,$UserProperty,MachineName,$TimeProperty | Sort-Object -Property TimeCreated -Descending -Unique

    Microsoft Windows Terminal Services/ Local Session Manager/ Operational 日志在查找登录和注销时最有帮助。与其他日志相比,此日志包含的事件较少,因此在大多数情况下它更清晰、更容易理解。如果您使用 powershell 来审核这些东西,请确保您使用-Unique开关来确保您只获得一个登录事件,而不是其他两三个与它一起生成的其他事件。

    • 0

相关问题