none
Windows Server 2012 Remote Login Event ID RRS feed

  • Question

  • Merhaba Arkadaşlar;

    Windows server 2012 login olan kullanıcı bilgilerini siem ürününe aktarıp rapor almak istiyorum. Windows event loglarına baktığımda istediğim bilgiler login olduktan sonra oluşmadığını gördüm. Yapımızda AD mevcut group policyler üzerinde gerekli ayarları açtım fakat istediği loglar maalesef oluşmuyor.

    Security loglarında 4985 event id mevcut, Servis rollerinde remote desktop event id ise 21 mevcut.  Konuyla ilgili yönlendirme yapabilecek arkadaşlara şimdiden teşekkür ederim.

    İyi Çalışmalar

    Levent.

    jeudi 30 mai 2019 15:04

Toutes les réponses

  • Levent bey sorununuz tam olarak anlayamadım ancak windows üzerinde logon ve log off olan kullanıları görüntüleyip raporlamak istiyorsunuz anladığım kadarı ile aşağıdaki powershell komutu ile bunları çok rahat raporlayabilirsiniz.

    $logs = get-eventlog system -ComputerName <name of the monitored computer> -source Microsoft-Windows-Winlogon -After (Get-Date).AddDays(-7);
    $res = @(); ForEach ($log in $logs) {if($log.instanceid -eq 7001) {$type = "Logon"} Elseif ($log.instanceid -eq 7002){$type="Logoff"} Else {Continue} $res += New-Object PSObject -Property @{Time = $log.TimeWritten; "Event" = $type; User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}};
    $res

    Yada daha kapsamlı incelemek için aşağıdaki linkde bulunan script de başarılı bir çözüm yaratabilir.

    https://gallery.technet.microsoft.com/scriptcenter/Collect-RDP-logon-entries-dc3e19d0/view/Reviews

    • Proposé comme réponse suatkahraman vendredi 31 mai 2019 06:51
    vendredi 31 mai 2019 06:31
  • Emre Bey merhaba;

    Konu doğru anlaşılmış, logon ve log off olan kullanıcı bilgilerini rapor  almak istiyorum. Sunucu sayısı çok olduğu için manuel yapmak zaman alacak. Sunucular üzerinde log pass eden uygulama mevcut. Bu loglar siem ürününde toplanıyor. Raporu otomatik olarak bunun üzerinden almak istiyorum. Sorun şu ki windows evet logları Audit Success 4985 id üzerinde oluşuyor microsot tarafından belirtlilen 4625 - 4624 vb idler mevcut değil. Bizde oluşan 4985 event id login haricinde çok farklı bilgileri de içeriyor. Login ve Log out ait sabit idleri oluşturabilmek istiyorum.  Bu ID üzerinden rapor parametrelerini gireceğim. 

    mercredi 12 juin 2019 09:50
  • Paylaştığım kod ile IDleri düzenleyip işinizi görebilirsiniz.

    Ben yaptığım denemelerde aşağıdaki gibi sonuç almaktayım.

    PS C:\Users\Administrator> $logs = get-eventlog system -ComputerName powershell-ozan -source Microsoft-Windows-Winlogon -After (Get-Date).AddDays(-7);
    PS C:\Users\Administrator> $res = @(); ForEach ($log in $logs) {if($log.instanceid -eq 7001) {$type = "Logon"} Elseif ($log.instanceid -eq 7002){$type="Logoff"} Else {Continue} $res += New-Object PSObject -Property @{Time
     = $log.TimeWritten; "Event" = $type; User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}};
    PS C:\Users\Administrator> $res
     
    Time                User                          Event
    ----                ----                          -----
    31.05.2019 09:16:58 POWERSHELL-OZAN\Administrator Logon
    30.05.2019 18:11:02 POWERSHELL-OZAN\Administrator Logoff
    

    mercredi 12 juin 2019 12:37