Sziasztok!
A házi feladatomban Windows szerverekről kell lekérdeznem WS-Management segítségével az ott lévő felhasználókat, és a hozzájuk tartozó bejelentkezési időpontokat.
A gondom a bejelentkezési időpontok lekérdezésével van.
1) A szerveren beállítottam, hogy auditálja a sikeres bejelentkezési kísérleteket (Local Security -> Local Policies -> Audit Policy -> Audit logon events -> Success).
Amikor a szerveren az Event Viewerben a Security logok között megnézem a bejegyzéseket, akkor 4624-es esemény azonosítóval találok egy csomó bejegyzést, ami a bejelentkezéseket tartalmazza.
Amikor ráeresztek egy szűrőt ezekre a rekordokra, hogy csak a Winlogon-tól mint forrástól maradjanak bejegyzések, akkor egyetlen bejegyzés sem marad, pedig elvileg kéne, hiszen az a folyamat felelős a felhasználók bejelentkeztetéséért a lokális gépen. (A Windows szerverre virtuális gépen keresztül, nem távoli asztali kapcsolattal lépek be.)
Ugyanúgy nem kapok egyetlen rekordot sem eredményül, hogyha feltételnek a win81-base\meres felhasználót állítom be, és a többi beállítást változatlanul hagyom.
Valamint, ha az 528-as esemény azonosítóra keresek rá, akkor sem kapok egyetlen rekordot sem eredményül, pedig ez jelzi a sikeres bejelentkezéseket. ("A user successfully logged on to a computer. For information about the type of logon, see the Logon Types table below.")
Az lenne a kérdésem, hogy hogyan lehet megoldani azt, hogy meg tudjam mondani, hogy a meres felhasználó mikor jelentkezett be az adott gépre, és milyen hitelesítési protokollt használt (elvileg a bejelentkezési napló bejegyzés ezt az attribútumot is tartalmazza)?
2) Hogyha a kliensről megpróbálom lekérdezni a kapcsolópéldányokon keresztül az adott felhasználóhoz tartozó napló bejegyzéseket, akkor nem kapok vissza eredményül se 4624-es, se 528-as, se semmilyen olyan bejegyzést, amely utalna arra, hogy bejelentkezés történt az adott felhasználóval.
(A felhasználóhoz tartozó naplóbejegyzéseket visszakapom, csak azok között nincsen ilyen esemény azonosítójú bejegyzés.)
A szűrő feltétel, amivel próbálkozok:
{Object=Win32_UserAccount?Name=$username+Domain=$userdomain;AssociationClassName=Win32_NTLogEventUser;ResultClassName=Win32_NTLogEvent}
A kérdésem az lenne, hogy hogyan lehet azt megadni, hogy a bejelentkezési bejegyzések is szerepeljenek a lekérdezés eredményhalmazában?
3) Amivel még próbálkoztam az az, hogy lekérdeztem az összes Win32_NTLogEvent-et, aminek az EventIdentifier-e 4624.
Ekkor visszakaptam az összes olyan bejegyzést, amit az 1. pont legelején említettem. Ezeknél viszont a Message attribútum értékében van benne szövegesen az, hogy melyik fiókhoz, milyen hitelesítésen keresztül történt bejelentkezés. Itt viszont a bejelentkezéshez tartozó dátum nincsen feltüntetve, így nem tudom, hogy mikor történt a sikeres bejelentkezés.
Véleményem szerint az előbb említett három kérdés egymással szerveresen összefügg, és a háttérben lehet valamilyen beállítás, amit nem találtam meg.
Nagyon szépen megköszönném, hogyha tudna valaki segíteni ebben, mert hiába bújtam a hivatalos MSDN-es és technetes oldalakat ezzel kapcsolatban (Audit logon events, Audit account logon events, Win32_NTLogonEvent) nem találtam megoldást a problémára, pedig elvileg működnie kéne.
Előre is köszönöm a segítséget!
