Filtrado de registros de seguridad por usuario y tipo de inicio de sesión

17

Me han pedido que averigüe cuándo un usuario inició sesión en el sistema la última semana. Ahora los registros de auditoría en Windows deberían contener toda la información que necesito. Creo que si busco el Id. De evento 4624 (Logon Success) con un usuario de AD específico y Logon Type 2 (Logon interactivo) que debería darme la información que necesito, pero durante mi vida no puedo encontrar la forma de filtrar el registro de eventos para obtener esta información. ¿Es posible dentro del Visor de eventos o necesita usar una herramienta externa para analizarlo a este nivel?

Encontré http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html que parecía ser parte de lo que necesitaba. Lo modifiqué un poco para que solo me dieran los últimos 7 días. A continuación se muestra el XML que probé.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

Solo me dio los últimos 7 días, pero el resto no funcionó.

¿Puede alguien ayudarme con esto?

EDITAR

Gracias a las sugerencias de Lucky Luke, he estado progresando. La siguiente es mi consulta actual, aunque, como explicaré, no devuelve ningún resultado.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

Como mencioné, no arrojó ningún resultado, así que he estado jugando un poco con eso. Puedo lograr que produzca los resultados correctamente hasta que agregue la línea LogonType. Después de eso, no devuelve ningún resultado. ¿Alguna idea de por qué podría ser esto?

EDITAR 2

Actualicé la línea LogonType a lo siguiente:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

Esto debería capturar los inicios de sesión de la estación de trabajo y el desbloqueo de la estación de trabajo, pero todavía no obtengo nada. Luego lo modifico para buscar otros tipos de inicio de sesión como 3 u 8, que encuentra muchos. Esto me lleva a creer que la consulta funciona correctamente, pero por alguna razón no hay entradas en los registros de eventos con el tipo de inicio de sesión igual a 2 y esto no tiene sentido para mí. ¿Es posible apagar esto?

windows-server-2008  eventviewer  security  windows-event-log 
Trido
fuente
Parece que su consulta está funcionando si está obteniendo resultados con otros tipos de inicio de sesión. Es posible que necesite ver otros tipos de inicio de sesión, en particular el tipo de inicio de sesión 11, que a menudo se usa en lugar del tipo de inicio de sesión 2 en Vista y versiones posteriores. Puede ver todos los tipos de inicio de sesión aquí: myeventlog.com/search/show/799 . Apuesto a que sus inicios de sesión son del tipo 11. Avíseme.
Lucky Luke
Curiosamente, el único resultado no 3 que obtengo es 8 que he identificado. Por alguna razón no hay 2, 7 u 11 que esperaría ver.
Trido
¿Ha verificado su configuración de auditoría en la política de seguridad local (o política de dominio si es parte de un dominio) para asegurarse de que todos los inicios de sesión estén siendo auditados? Hágame saber si necesita más información.
Lucky Luke
Este fue de hecho el problema. Entré en la Política de grupo y se apagó.
Trido
Interesante. ¿Qué configuración exacta terminaste encendiendo? Lo que es un poco extraño es que estaba viendo otros eventos de inicio de sesión, pero no los inicios de sesión de la consola. Tenía la impresión de que todos están configurados con la misma configuración.
Lucky Luke

Respuestas:

17

Está en el camino correcto: uno de los errores en su consulta es el espacio en 'Tipo de inicio de sesión', debería ser 'Tipo de inicio de sesión'.

Pegué una consulta a continuación que acabo de verificar trabajos. Está un poco simplificado, pero entiendes la idea. Muestra todos los 4624 eventos con inicio de sesión tipo 2, del usuario 'john.doe'.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

Puede encontrar más información sobre consultas XML en el visor de eventos aquí: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event- viewer.aspx .

Puede consultar eventos desde la línea de comandos con wevtutil.exe: http://technet.microsoft.com/en-us/magazine/dd310329.aspx .

Lucky Luke
fuente
Hmm, esto es extraño. Cuando lo ejecuté, obtuve 0 resultados devueltos. Incluso cuando simplifico la consulta solo al Tipo de inicio de sesión. Realmente no entiendo por qué no está funcionando.
Trido
Actualicé mi pregunta con mi consulta y problema actuales.
Trido
Esto es exactamente lo que necesitaba para averiguar quién se conectó a uno de mis servidores a través de RDP. Solo tuve que cambiar el LogonType a '10' (y eliminar el bit sobre el nombre de usuario).
Charles Burge
1

Encontré esta pregunta y tuve que hacer un poco de trabajo para analizar el contenido, de las respuestas aceptadas y las actualizaciones de preguntas, para obtener una solución funcional. Pensé que publicaría una sintaxis de consulta completa y funcional aquí para referencia futura:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

La consulta anterior debería funcionar para reducir los eventos de acuerdo con los siguientes parámetros:

  • Eventos en el registro de seguridad.
  • Con Id. De evento 6424
  • Ocurriendo en los últimos 30 días.
  • Asociado con el usuario john.doe.
  • Con LogonType 10.

Puede cambiar los LogonTypes en el filtro modificando (Data='10')el código anterior. Por ejemplo, es posible que desee hacer (Data='2')o (Data='10' or Data='2').

Iszi
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.