none
Кто и когда поменял пароль администратора RRS feed

  • Вопрос

  • Сделал вот такой скрипт для того чтобы узнать кто и когда менял пароль локального администратора

    get-eventlog -logname Security -Newest 10 | Where-Object {{$_.EventID -eq "627"} -and {$_.TimeGenerated.Date -eq (Get-Date).AddDays(-2)}} | Select-Object UserName | out-file D:\app_log.txt 

    Результат:

    UserName                                                                                                                                                                                                                                                           
    -------- 

    Попробовал так 

    get-eventlog -logname Security -Newest 10 | Where-Object {{$_.EventID -eq "627"} -and {$_.TimeGenerated.Date -eq (Get-Date).AddDays(-2)}}

    Результат

       Index Time          EntryType   Source                 InstanceID Message                                                                                                                                                                                       
       ----- ----          ---------   ------                 ---------- -------                                                                                                                                                                                       
       94467 ноя 20 07:52  SuccessA... Microsoft-Windows...         4672 Новому сеансу входа назначены специальные привилегии....                                                                                                                                      
       94466 ноя 20 07:52  SuccessA... Microsoft-Windows...         4624 Вход с учетной записью выполнен успешно....                                                                                                                                                   
       94465 ноя 20 07:41  SuccessA... Microsoft-Windows...         4634 Выполнен выход учетной записи из системы....                                                                                                                                                  
       94464 ноя 20 07:41  SuccessA... Microsoft-Windows...         4624 Вход с учетной записью выполнен успешно....                                                                                                                                                   
       94463 ноя 20 07:41  SuccessA... Microsoft-Windows...         4672 Новому сеансу входа назначены специальные привилегии....                                                                                                                                      
       94462 ноя 20 07:38  SuccessA... Microsoft-Windows...         4634 Выполнен выход учетной записи из системы....                                                                                                                                                  
       94461 ноя 20 07:38  SuccessA... Microsoft-Windows...         4672 Новому сеансу входа назначены специальные привилегии....                                                                                                                                      
       94460 ноя 20 07:38  SuccessA... Microsoft-Windows...         4624 Вход с учетной записью выполнен успешно....                                                                                                                                                   
       94459 ноя 20 07:38  SuccessA... Microsoft-Windows...         4648 Выполнена попытка входа в систему с явным указанием учетных данных....                                                                                                                        
       94458 ноя 20 07:38  SuccessA... Microsoft-Windows...         4634 Выполнен выход учетной записи из системы.... 

    Но тут нет событий о смене пароля (4724).

    Подскажите что делаю не так?

    20 ноября 2013 г. 6:20

Ответы

  • Get-Content D:\pc.txt | Foreach {
    	$pc = $_
    	Get-WinEvent -ComputerName $pc -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)} -ErrorAction SilentlyContinue |  
    	Select-Object  @{n="ComputerName";e={$pc}},
    			@{n="SubjectUserName";e={$_.properties[0].value}},
    			@{n="TargetUserName";e={$_.properties[4].value}},
    			@{n="TargetDomainName";e={$_.properties[1].value}},
    			TimeCreated
    } | out-file D:\app_log.txt  


    • Изменено KazunEditor 20 ноября 2013 г. 8:52
    • Помечено в качестве ответа moonlightchild 20 ноября 2013 г. 9:51
    20 ноября 2013 г. 8:49
    Отвечающий

Все ответы

  • Get-WinEvent -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)}
    20 ноября 2013 г. 6:29
    Отвечающий
  • Отлично! Но имя пользователя так и не отображается
    20 ноября 2013 г. 6:49
  • Отлично! Но имя пользователя так и не отображается
    Get-WinEvent -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)} | fl *
    20 ноября 2013 г. 6:53
    Отвечающий
  • Ну так раскрывается лог, а необходимо выдернуть только имя пользователя который поменял пароль
    20 ноября 2013 г. 6:55
  • Ну так раскрывается лог, а необходимо выдернуть только имя пользователя который поменял пароль
    Вывод приведите, какой пункт требуется.
    20 ноября 2013 г. 7:00
    Отвечающий
  • Чтобы результат выполнения команды имел следующий вид:

    UserName          Date/Time

    Вася   19.11.2013 10:12:37 (дата/время возникновения события)

     
    20 ноября 2013 г. 7:11
  • Get-WinEvent -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)} | 
    	Select @{n="SubjectUserName";e={$_.properties[0].value}},@{n="TargetUserName";e={$_.properties[4].value}},TimeCreated

    • Помечено в качестве ответа moonlightchild 20 ноября 2013 г. 7:16
    • Снята пометка об ответе moonlightchild 20 ноября 2013 г. 8:36
    20 ноября 2013 г. 7:14
    Отвечающий
  • Спасибо! Именно то что нужно!
    20 ноября 2013 г. 7:16
  • А можно использовать такую структуру запроса для сбора сведений с нескольких компьютеров?

    Get-WinEvent -ComputerName (Get-Content D:\pc.txt)  -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)} | 
    Select @{n="SubjectUserName";e={$_.properties[0].value}},@{n="TargetUserName";e={$_.properties[4].value}},@{n="TargetDomainName";e={$_.properties[1].value}},TimeCreated | out-file D:\app_log.txt 

    20 ноября 2013 г. 8:36
  • Get-Content D:\pc.txt | Foreach {
    	$pc = $_
    	Get-WinEvent -ComputerName $pc -FilterHashtable @{LogName="Security";Id=4724;StartTime=(Get-Date).AddDays(-2)} -ErrorAction SilentlyContinue |  
    	Select-Object  @{n="ComputerName";e={$pc}},
    			@{n="SubjectUserName";e={$_.properties[0].value}},
    			@{n="TargetUserName";e={$_.properties[4].value}},
    			@{n="TargetDomainName";e={$_.properties[1].value}},
    			TimeCreated
    } | out-file D:\app_log.txt  


    • Изменено KazunEditor 20 ноября 2013 г. 8:52
    • Помечено в качестве ответа moonlightchild 20 ноября 2013 г. 9:51
    20 ноября 2013 г. 8:49
    Отвечающий