XXVII. März 2019
Windows Active Directory: EventLog Login überwachen
Windows (wie als auch Anwendungen) schreiben laufend Informationen in Log-Dateien, die insbesondere für das Troubleshooting nützlich sein können, sofern man die entscheidenden Einträge findet. PowerShell bietet für diese Aufgabe gleich zwei Cmdlets, nämlich Get-EventLog und Get-WinEvent.
Get-EventLog
Dieses Cmdlet gibt es schon seit der Powershell Version 2.0. Damit kann man die gesamte EventLog von Windows mit gewissen Filtekriterien heraussuchen. Man sieht die fülle der Möglichkeiten mit der Ausgabe der Member:
Get-EventLog -LogName Security | Get-MemberDie wichtigsten Filter:
- -LogName: Wichtig, hier kann aber nur jeweils ein Wert stehen
- System
- Application
- Security
- -after 15.05.2018 -before 15.05.2018 => Datum eingrenzen
- -InstanceId 4624,4662,4661 => Kategorie
Felder:
EntryType,InstanceId,TimeGenerated,MessageBeispiel Login und Events bei Login für User "meinadmin"
Für Login muss man folgende ID kennen:
- 4624 = An account was successfully logged on.
- 4625 = An account failed to log on.
- 4648 = A logon was attempted using explicit credentials (runas)
- 4634 = An account was logged off.
- 4647 = User initiated logoff.
- 4771 = Kerberos pre-authentication failed
- 0x18 Pre-authentication information was invalid Usually means bad password
- 4661 = A handle to an object was requested.
- 4662 = An operation was performed on an object.
Import-Module ActiveDirectory $log = Get-EventLog -LogName Security ` -ComputerName $(Get-ADDomainController).hostname -InstanceId 4624,4625 $log | ` where { $_.Message -like "*meinadmin*" } | ` Select EntryType,InstanceId,TimeGenerated,Message | ` Export-Csv -Path c:\temp\log.csv -NoTypeInformation -delimiter ',' -Encoding UTF8
Get-WinEvent
Dieses Cmdlet hat insbesondere seine Vorteile das es mehrere LogName zulässt. Das Filterkriterium wird wiederum aber als xPath definiert. Hier als Beispiel eines lokalen Admins:
Get-WinEvent -LogName Security, System -FilterXPath "*/System[Security/@UserID='S-1-5-20']"
×
...auch noch interessant
- Windows 2016 // 01.11.2022VMware Aria Automation 8.x: VMPSMasterWorkflow32 MachineProvisioned SysPrep
- Windows // 31.10.2022Windows 2022 Disk Layout from Hell (update)
- Powershell // 22.04.2022Opnsense: Backup mit Rest-API (os-api-backup)
- Powershell // 01.04.2022Powershell Where-Object mit Warp 7 beschleunigen
Tippsammlung
Kleine Tippsammlung für mich und dijenige die sich auf meine Webseite verirrt haben.Archiv
Jahr
Tag(s):- Jun 2024 (1)
- May 2024 (1)
- Apr 2024 (2)
- Feb 2024 (3)
- Jan 2024 (1)
- Sep 2023 (1)
- Jul 2023 (1)
- Apr 2023 (1)
- Feb 2023 (1)
- Nov 2022 (2)
- Oct 2022 (1)
- Jul 2022 (1)
- Jun 2022 (2)
- May 2022 (2)
- Apr 2022 (6)
- tipps (31)
- synology (27)
- linux (22)
- Windows (19)
- tool (19)
- Powershell (15)
- Windows 10 (13)
- csharp (c#) (10)
- coding (9)
- Ubuntu (6)
- security (6)
- ad (6)
- Windows 2012 R2 (5)
- vpn (5)
- Pi (5)
- gitea (5)
- git (5)
- Windows 2012 (4)
- Ubuntu 22.04 (4)
- opnsense (4)
- openpgp.js (4)
- mysql (4)
- docker (4)
- Xubuntu (3)
- Windows 2016 (3)
- web2 (3)
- seo (3)
- LMS (3)
- Japanisch (3)
- ipkg (3)
- bash (3)
- app (3)
- Android (3)
- Zertifizierungsstelle (2)
- www (2)
- wsus (2)
- Windows Updates (2)
- windows 2022 (2)
- Windows 2008 (2)
- wadoku (2)
- VMware (2)
- verschlüsselung (2)
- Scripts (2)
- php (2)
- pgp (2)
- perl (2)
- openvpn (2)
- Kanji (2)
- javascript (2)
- GnuPgP (2)
Nichts gefunden
Es wurde zur Story Windows Active Directory: EventLog Login überwachen kein Kommentar gefundenInformation
Werbung oder Ähnliches sind nicht erlaubt, daher wird jeder Beitrag geprüft und freigegeben.Advertising, etc. are not allowed, so any contribution is reviewed and approved.
Facebook-Webadress are not allowed, Facebook als Webadresse ist nicht erlaubt
* Die E-Mail wird nicht veröffentlicht / The email will not be published
** Bitte Zahl eintragen / Please enter the number
Modal Header
Some text in the Modal Body
Some other text...
(c)2024 stastka.ch // help system