Windows Active Directory: EventLog Login überwachen
Windows Active Directory: EventLog Login überwachen

Windows (wie als auch Anwendungen) schreiben laufend Informationen in Log-Dateien, die insbesondere für das Troubleshooting nützlich sein können, sofern man die entscheidenden Einträge findet. PowerShell bietet für diese Aufgabe gleich zwei Cmdlets, nämlich Get-EventLog und Get-WinEvent.

Get-EventLog

Dieses Cmdlet gibt es schon seit der Powershell Version 2.0. Damit kann man die gesamte EventLog von Windows mit gewissen Filtekriterien heraussuchen. Man sieht die fülle der Möglichkeiten mit der Ausgabe der Member:

 Get-EventLog -LogName Security | Get-Member
Die wichtigsten Filter:
  • -LogName: Wichtig, hier kann aber nur jeweils ein Wert stehen
    • System
    • Application
    • Security 
  • -after 15.05.2018 -before 15.05.2018 => Datum eingrenzen
  • -InstanceId 4624,4662,4661 => Kategorie

Felder:

EntryType,InstanceId,TimeGenerated,Message

Beispiel Login und Events bei Login für User "meinadmin"

Für Login muss man folgende ID kennen:

  • 4624 = An account was successfully logged on.
  • 4625 = An account failed to log on.
  • 4648 = A logon was attempted using explicit credentials (runas)
Für da Logout:
  • 4634 = An account was logged off.
  • 4647 = User initiated logoff.
Kerberos
  • 4771 = Kerberos pre-authentication failed
    • 0x18 Pre-authentication information was invalid Usually means bad password
Für Dateizugriff:
  • 4661 = A handle to an object was requested.
  • 4662 = An operation was performed on an object.
Import-Module ActiveDirectory
$log = Get-EventLog -LogName Security `
-ComputerName $(Get-ADDomainController).hostname -InstanceId 4624,4625

$log | `
where { $_.Message -like "*meinadmin*" } | `
Select EntryType,InstanceId,TimeGenerated,Message | `
Export-Csv -Path c:\temp\log.csv  -NoTypeInformation -delimiter ',' -Encoding UTF8

Get-WinEvent

Dieses Cmdlet hat insbesondere seine Vorteile das es mehrere LogName zulässt. Das Filterkriterium wird wiederum aber als xPath definiert. Hier als Beispiel eines lokalen Admins:

 Get-WinEvent -LogName Security, System -FilterXPath "*/System[Security/@UserID='S-1-5-20']"

Nichts gefunden

Es wurde zur Story Windows Active Directory: EventLog Login überwachen kein Kommentar gefunden

Information

Werbung oder Ähnliches sind nicht erlaubt, daher wird jeder Beitrag geprüft und freigegeben.
Advertising, etc. are not allowed, so any contribution is reviewed and approved.
Facebook-Webadress are not allowed, Facebook als Webadresse ist nicht erlaubt


* Die E-Mail wird nicht veröffentlicht / The email will not be published
** Bitte Zahl eintragen / Please enter the number
Ihr Kommentar
?
?
captcha Image?
?
 

Tippsammlung

Kleine Tippsammlung für mich und dijenige die sich auf meine Webseite verirrt haben.

Archiv

JahrArchiv
Tag(s):