Windows Eventlog, wann angemeldet?
Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.
Weiß das wer?
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.
Weiß das wer?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186752
Url: https://administrator.de/forum/windows-eventlog-wann-angemeldet-186752.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
21 Kommentare
Neuester Kommentar
User ID := Benutzerkonto.
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Dann mußt Du das Eventlog besser filtern. Auf meinem Windows Server 2008 sehe ich die Anmeldungen unter der Task Category
Special Logon
Und gegebenenfalls halt mal die Einträge im Eventlog anklicken, um die Details zu sehen. Irgenwann findest Du einen Eintrag, wann eine Anmeldung mit einem Benutzerkonto stattgefunden hat.
hallo,
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
hoppla,
da hab ich nicht nachgedacht. Entschuldige bitte!
Die Anfrage geht natürlich nur auf meinem Rechner
Du kannst dir deinen Filter aber ganz leicht selber zusammenklicken.
Als Quelle nimmst du "Microsoft Windows-Sicherheitsüberprüfung."
und bei Aufgabenkategorie kannst du "Anmelden, Abmelden" nehmen.
liebe Grüße,
drnatur.
Zitat von @Rico55:
Das hat geklappt,
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Das hat geklappt,
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Dann siehst Du alle Anmeldungen. Ein Filter auf eine bestimmte Benutzerkennung ist anscheinend nicht möglich.
Hallo eine Filterung ist sehr wohl möglich man muss es nur richtig verketten:
viel spaß damit
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]
and
*[EventData[Data[@Name='TargetUsername'] and (Data='GEWOLLTER BENUTZERNAME')]]
</Select>
</Query>
</QueryList>
viel spaß damit
Zitat von @godlie:
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
OK, dazu muss man dann aber erstmal auf die XML Anzeige umsachalten. Damit man die benötigten Felder kommt.
Wobei, wenn Du den Filter direkt via XML editierst, funktioniert doch die Filterung nicht mehr via dem Action Tab.
Kann man dies denn wieder zurückstellen?
Zitat von @Rico55:
Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.
Weiß das wer?
Wenns man nur den schnellen Überblick braucht, gehts auch ohne Queries.Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.
Weiß das wer?
Im beschriebenen Fall das lokale Eventlog Sicherheit einfach nach den Ereignis-IDs 4800 (Bildschirm sperren) und 4801 (Bildschirm entsperren filtern. Der entsprechende Benutzer wird dann in der Detailanzeige angezeigt
Gruß kolli