Me han pedido que averigüe cuándo un usuario inició sesión en el sistema la última semana. Ahora los registros de auditoría en Windows deberían contener toda la información que necesito. Creo que si busco el Id. De evento 4624 (Logon Success) con un usuario de AD específico y Logon Type 2 (Logon interactivo) que debería darme la información que necesito, pero durante mi vida no puedo encontrar la forma de filtrar el registro de eventos para obtener esta información. ¿Es posible dentro del Visor de eventos o necesita usar una herramienta externa para analizarlo a este nivel?
Encontré http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html que parecía ser parte de lo que necesitaba. Lo modifiqué un poco para que solo me dieran los últimos 7 días. A continuación se muestra el XML que probé.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Solo me dio los últimos 7 días, pero el resto no funcionó.
¿Puede alguien ayudarme con esto?
EDITAR
Gracias a las sugerencias de Lucky Luke, he estado progresando. La siguiente es mi consulta actual, aunque, como explicaré, no devuelve ningún resultado.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Como mencioné, no arrojó ningún resultado, así que he estado jugando un poco con eso. Puedo lograr que produzca los resultados correctamente hasta que agregue la línea LogonType. Después de eso, no devuelve ningún resultado. ¿Alguna idea de por qué podría ser esto?
EDITAR 2
Actualicé la línea LogonType a lo siguiente:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Esto debería capturar los inicios de sesión de la estación de trabajo y el desbloqueo de la estación de trabajo, pero todavía no obtengo nada. Luego lo modifico para buscar otros tipos de inicio de sesión como 3 u 8, que encuentra muchos. Esto me lleva a creer que la consulta funciona correctamente, pero por alguna razón no hay entradas en los registros de eventos con el tipo de inicio de sesión igual a 2 y esto no tiene sentido para mí. ¿Es posible apagar esto?