none
Creare Filtro RRS feed

  • Domanda

  • Cosa banale ma ho un dubbio.

    vorrei filtrare gli eventi sul server di un certo utente, come accessi connessioni e disconnessioni o accessi con password sbagliati...

    come faccio, quali parametri devo attivare?

    mercoledì 14 marzo 2018 14:24

Risposte

Tutte le risposte

  • Ciao Francesco,

    segui questa guida per fare quello che ti serve!

    Saluti, Nikola 

    giovedì 15 marzo 2018 08:49
    Moderatore
  • non mi trova nulla, e credo sia difficile
    giovedì 15 marzo 2018 14:58
  • Basta creare una query WQL per configurare un filtro personalizzato sul registro eventi.
    Ad esempio potresti provare qualcosa di questo tipo:
    ......
    Eventualmente aggiungi i vari ID evento a cui sei interessato.


    giovedì 15 marzo 2018 15:28
    Moderatore
  • Prima di tutto devi abilitare via gpo l'audit dei logon
    https://serverfault.com/questions/391734/how-to-enable-audit-failure-logs-in-active-directory

    capire quali eventi ti interessano es. gli accessi al sistema
    https://blogs.msdn.microsoft.com/ericfitz/2008/08/20/tracking-user-logon-activity-using-logon-events/
    es. gli accessi ai files
    https://blogs.technet.microsoft.com/mspfe/2013/08/26/auditing-file-access-on-file-servers/

    Poi fare un filtro con gli eventi che ti interessano
    https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

    Esempio di filtro che  individua tutti i logon avvenuti: sia locali (logon type 2 ), che via remote desktop (logon type 10) dell'utente gastone

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[EventID=4624] and (EventData/Data[@Name='LogonType']='2' or EventData/Data[@Name='LogonType']='10'  ) and EventData/Data[@Name='TargetUserName']='gastone'  ]</Select>
      </Query>
    </QueryList>
    ciao Gas
    @Nikola: era un po' datato il tuo link e non centratissimo
    @Fabrizio: la tua query non funzionava e la ho riscritta




    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    giovedì 15 marzo 2018 22:25
    Moderatore
  • Hai ragione, avevo scritto troppo di corsa e mi ero dimenticato qualche parentesi.
    Ecco al mia query aggiornata che filtra accessi e disconnessioni di un determinato utente:
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4624) or (EventID=4634)] and EventData[Data[@Name='TargetUserName']='NomeUtente']   ]</Select>
      </Query>
    </QueryList>

     

    giovedì 15 marzo 2018 23:06
    Moderatore
  • volessi sapere se sbaglia password? quindi gli accessi sbagliati sempre con quel utente?
    venerdì 16 marzo 2018 09:05
  • Devi ovviamente abilitare l'audit anche degli accessi falliti:

    Poi puoi usare una query del genere:

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='NomeUtente']   ]</Select>
      </Query>
    </QueryList>
    Attraverso il codice in "SubStatus" puoi addirittura filtrare per tipologia di accesso negato.
    Ad esempio con questa query filtri solo gli accessi negati per nome utente corretto e password errata.
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='admin_IT']  and EventData[Data[@Name='SubStatus']='0xc000006a']    ]</Select>
      </Query>
    </QueryList>
    Qui puoi trovare tutti i valori di SubStatus:
    https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4625


    venerdì 16 marzo 2018 09:32
    Moderatore
  • e l'abilitazione lo devo fare solo sul serve, o distribuirlo tramite policy?
    venerdì 16 marzo 2018 11:49
  • Sul DC che userai per recuperare gli eventi.
    venerdì 16 marzo 2018 12:50
    Moderatore
  • cosi dovrebbe loggare se qualcuno logga e sbaglia la password esatto?
    venerdì 16 marzo 2018 13:33
  • ho provato a fare la query della pass errata ma non funziona, si aggiorna dopo un tot sul server? non dovrebbe essere istantaneo?
    venerdì 16 marzo 2018 14:07
  • Nella visualizzazione non filtrata riesci a vedere l'accesso non riuscito che hai eseguito come test? Se si, vedi nei dettagli dell'evento se stai sbagliando qualcosa a livello di filtro (ad esempio il SubStatus).
    Se non lo vedi, le cause potrebbero essere diverse:
    - Se hai più DC l'evento potrebbe essere stato registrato da un'altro server
    - Il tentativo di accesso potrebbe essere stato eseguito prima dell'attivazione della registrazione tramite policy

    lunedì 19 marzo 2018 12:11
    Moderatore
  • ho provato sui vari DC con la query

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='admin_IT']  and EventData[Data[@Name='SubStatus']='0xc000006a']    ]</Select>
      </Query>
    </QueryList>

    ma non trova nulla, al posto di admin_IT ho provato a mettere il mio nome, ma nulla

    lunedì 19 marzo 2018 15:36
  • se togli il targetusername dalla query ti esce qualcosa ?

    hai provato ad eseguire la query senza vincoli per verificare quali record sono disponibili ?

    le condizioni le metti dopo aver visto quali reocords hai nel registro eventi


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 19 marzo 2018 15:42
    Moderatore
  • nulla
    lunedì 19 marzo 2018 17:39
  • Hai degli eventi 4625?

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 19 marzo 2018 20:07
    Moderatore
  • si circa 8mila

    ma se filtro per nome utente, non mi trova nulla, e ho fatto degli accessi sbagliati

    lunedì 19 marzo 2018 20:17
  • Come dicevo prova intanto a non mettere il filtro per substatus (prima query) e riprova.
    E' possibile che tutti i tuoi eventi non abbiano il valore 0xc000006a.
    lunedì 19 marzo 2018 21:28
    Moderatore
  • <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='']  and EventData[Data[@Name='SubStatus']='']    ]</Select>
      </Query>
    </QueryList>

    così dovrebbe essere?

    martedì 20 marzo 2018 13:34
  • eventi falliti dell'utente gastone

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='gastone'] ]</Select>
      </Query>
    </QueryList>

    oppure tutti gli eventi di fallimento

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)]  ]</Select>
      </Query>
    </QueryList>


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 20 marzo 2018 20:15
    Moderatore
  • <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='']  and EventData[Data[@Name='SubStatus']='']    ]</Select>
      </Query>
    </QueryList>

    così dovrebbe essere?

    Nel mio precedente post c'era già scritta la query senza il substatus, bastava solo copiarla....
    Comunque è identica a quella inserita nuovamente da Gastone.
    martedì 20 marzo 2018 20:34
    Moderatore
  • ok ora funziona...grazie mille :)

    per filtrare eventuali utenti bloccati?

    mercoledì 21 marzo 2018 11:55
  • si riesce a capire da dove proviene l'accesso tipo ip o nome pc?
    martedì 27 marzo 2018 09:42
  • Certo, nei dettagli di ogni evento c'è sia l'indirizzo IP che il nome della workstation (campi "WorkstationName" e "IpAddress"). Inutile dire che puoi filtrare anche in base al valore di questi campi....
    martedì 27 marzo 2018 16:17
    Moderatore
  • <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)]  ]</Select>
      </Query>
    </QueryList>

    attualmente uso questa query ma non si vede l'ip o nome nel log

    martedì 27 marzo 2018 18:30
  • In ogni evento 4625, nel tab General dovresti avere una sezione apposita chiamata "Network Information".
    mercoledì 28 marzo 2018 11:01
    Moderatore
  • https://postimg.org/image/r60r3krg5/
    mercoledì 28 marzo 2018 12:18
  • non trovo tra i filtri la possibilità di filtrare i nomi dei vari utenti..possibile?
    giovedì 29 marzo 2018 09:11
  • Che intendi? Precedentemente ti abbiamo inserito tutte le query anche per filtrare per nome utente.
    L'interfaccia grafica dell'Event Viewer per la creazione di filtri lascia il tempo che trova...il campo utente di questa finestra non può aiutarti.
    giovedì 29 marzo 2018 16:12
    Moderatore
  • nel senso che si trovava l'utente ma non l'ip da cui si era loggato, quindi era un pò inutile, con net monitor non trovo il filtro per fare un match tra utente loggato e ip macchina
    venerdì 30 marzo 2018 07:30
  • Prova ad utilizzare il filtro consigliato in questa KB (vedi solo la parte relativa all'utilizzo di network monitor):
    https://support.microsoft.com/en-us/help/199472/sms-how-to-determine-which-logon-server-was-used-during-network-logon

    In alternativa, puoi provare ad utilizzare il Microsoft Lockout Status tool. Qui puoi trovare una guida:
    http://msexchangeguru.com/2012/03/08/ad-lockout/

    venerdì 30 marzo 2018 15:15
    Moderatore
  • non trovo quello che cerco purtroppo :(
    martedì 3 aprile 2018 14:23
  • nel DC mi trova solo i blocchi, ma non i login falliti di questo utente

    Accesso di un account non riuscito.

    Soggetto:
    ID sicurezza: SYSTEM
    Nome account: DC$
    Dominio account: DOMINIO
    ID accesso: 0x3e7

    Tipo di accesso: 3

    Account il cui accesso non è riuscito:
    ID sicurezza: NULL SID
    Nome account: nome.cognome
    Dominio account: DOMINIO

    Informazioni sull'errore:
    Motivo dell'errore: Account bloccato.
    Stato: 0xc0000234
    Stato secondario: 0x0

    Informazioni sul processo:
    ID processo chiamante: 0x3d8
    Nome processo chiamante: C:\Windows\System32\svchost.exe

    Informazioni di rete:
    Nome workstation:
    Indirizzo di rete di origine: -
    Porta di origine: -

    Informazioni di autenticazione dettagliate:
    Processo di accesso: CHAP
    Pacchetto di autenticazione: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Servizi transitati: -
    Nome pacchetto (solo NTLM): -
    Lunghezza chiave: 0

    venerdì 6 aprile 2018 14:08
  • <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)] and EventData[Data[@Name='TargetUserName']='nome.cognome'] ]</Select>
      </Query>
    </QueryList>

    usando questa query, mi trova solo l'evento di blocco e non gli accessi falliti...come mai?

    martedì 10 aprile 2018 10:49
  • Probabilmente l'account era già bloccato oppure il registro eventi era così pieno che gli eventi iniziali che avevano poi causato il blocco già erano stati eliminati.
    martedì 10 aprile 2018 10:54
    Moderatore
  • se applico questa query

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4625)]  ]</Select>
      </Query>
    </QueryList>

    visualizzo tutti gli eventi senza gli errori di login di quel utente...

    martedì 10 aprile 2018 12:28
  • Spulciano del Registro di dominio Active Directory ho trovato che il nome incriminato viene numerosamente rilevato in comflitto.

    event ID 1083 & 1955

    Conflitto di scrittura durante l'applicazione delle modifiche replicate all'oggetto seguente. 
     
    Oggetto: 
    CN=Nome Cognome,CN=Users,DC=dominio,DC=it,DC=it 
    Tempo in secondi: 

     
    Le voci nel registro eventi che precedono questa voce indicano se l'aggiornamento è stato accettato o meno. 
     
    Un conflitto di scrittura può essere causato da modifiche simultanee allo stesso oggetto oppure ad altri oggetti con attributi che fanno riferimento all'oggetto. Questo problema si verifica in genere quando l'oggetto rappresenta un gruppo di grandi dimensioni con molti membri e il livello di funzionalità della foresta è impostato su Windows 2000. Il conflitto ha attivato ulteriori tentativi di aggiornamento. L'eventuale lentezza del sistema può essere dovuta all'esecuzione della replica di tali modifiche. 
     
    Azione utente 
    Utilizzare gruppi di dimensioni minori per questa operazione oppure aumentare il livello di funzionalità della foresta a Windows Server 2003.





    Impossibile aggiornare l'oggetto seguente con le modifiche ricevute dal servizio directory nell'indirizzo di rete indicato perché Servizi di dominio Active Directory è occupato nell'elaborazione delle informazioni. 
     
    Oggetto:
    CN=Nome Cognome,CN=Users,DC=dominio,DC=it,DC=it 
    Indirizzo di rete:
    22b731a1-e583-4fce-8c67-d804774540d9._msdcs.dominio.it.it 
     
    L'operazione verrà ritentata in un secondo momento.

    martedì 10 aprile 2018 12:52
  • Se un utente di dominio è bloccato vengono generati solo gli eventi che hai trovato (event ID 4625 con substatus 0xC0000234), non gli eventi generici di login fallito (ad esempio ID 4625 e substatus 0xC000006A, che indica che la password è errata).
    Quelli vengono memorizzati solo prima dell'effettivo blocco dell'account, ma devi considerare che la dimensione del registro non è infinita quindi eventi molto vecchi potrebbero essere stati già eliminati.
    Se invece non trovi proprio eventi con ID 4625 assicurati che sia abilitato l'audit anche degli accessi falliti.
    martedì 10 aprile 2018 12:52
    Moderatore
  • gli accessi falliti è attivo, infatti vedo altri fallimenti ma di altri utenti
    martedì 10 aprile 2018 12:54