rico55
Goto Top

Windows Eventlog, wann angemeldet?

Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.

Weiß das wer?

Content-ID: 186752

Url: https://administrator.de/forum/windows-eventlog-wann-angemeldet-186752.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

Penny.Cilin
Penny.Cilin 20.06.2012 um 11:42:49 Uhr
Goto Top
Halli hallo hallöle,

man kann das Eventlog filtern. Setze doch den Filter einfach auf dein Benutzerkonto (User ID).
Rico55
Rico55 20.06.2012 um 12:00:49 Uhr
Goto Top
Was meinst du denn genau für eine UserID?
Die SID?
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Penny.Cilin
Penny.Cilin 20.06.2012 um 12:36:41 Uhr
Goto Top
Zitat von @Rico55:
Was meinst du denn genau für eine UserID?

User ID := Benutzerkonto.

Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.

Dann mußt Du das Eventlog besser filtern. Auf meinem Windows Server 2008 sehe ich die Anmeldungen unter der Task Category
Special Logon
. Dort wird mir das Benutzerkonto (User ID) angezeigt.

Und gegebenenfalls halt mal die Einträge im Eventlog anklicken, um die Details zu sehen. Irgenwann findest Du einen Eintrag, wann eine Anmeldung mit einem Benutzerkonto stattgefunden hat.
drnatur
drnatur 20.06.2012 um 13:09:06 Uhr
Goto Top
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur
Rico55
Rico55 20.06.2012 um 13:12:08 Uhr
Goto Top
Ok vielleicht haben wir da aneinender vorbei geredet.

Es geht mir um die Anmeldung an meiner Workstation.
Soweit ich weiß hat der DC damit gar nichts zu tun; dass ADPasswort wird aus dem Cache der Workstation geholt, daher glaube ich nicht, dass der DC davon irgendwas registriert.
Wenn ich das Eventlog nach Task Category ordne, bekomme ich natürlich alle Special Logons.
Sobald ich die UserID dazu mache, bekomme ich 0 Ergebnisse (also sowohl Domäne\user als auch Workstation\user)

Wenn ich mir das Eventlog so anschaue, ist das auch logisch, weil User im Filter wahrscheinlich != Security ID ist und bei dem echten Feld User steht im Log N/A

Wo ist mein Denkfehler?
Rico55
Rico55 20.06.2012 um 13:14:10 Uhr
Goto Top
Zitat von @drnatur:
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur

The Event Log query specified is invalid
Penny.Cilin
Penny.Cilin 20.06.2012 aktualisiert um 13:27:20 Uhr
Goto Top
Dann klicke doch einfach mal einen Eintrag des Special Logon an und Du wirst Dein Benutzerkonto sehen. Gegebenenfalls mehrere Einträge anklicken.

[edit] Rechtschreibfehler korrigiert.
Rico55
Rico55 20.06.2012 um 13:47:30 Uhr
Goto Top
Gna...
Also können wir uns mal darauf einigen das ich mit hoher Wahrscheinlichkeit dazu in der Lage bin einen Namen aus einem Log auszulesen; also den Workflow den ich selbst am Anfang schon beschrieben habe face-big-smile?


Wenn ich den Filter setze über die GUI bekomme ich 0 Ergebnisse, wenn ich als User: Accountname eintrage, und zwar den selben Accountnamen der so im Log steht.

Dazu hier noch den XML Output

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Security[@UserID='S-1-5-21-4711usw ']]]</Select>
</Query>
</QueryList>
Penny.Cilin
Penny.Cilin 20.06.2012 um 13:52:03 Uhr
Goto Top
Das kannst du so nicht fiiltern, weil die Information bzgl. der Benutzerkennung in den Details der Task Category Special Logon stehen.
drnatur
drnatur 20.06.2012 um 13:58:30 Uhr
Goto Top
Zitat von @Rico55:

The Event Log query specified is invalid

hoppla,

da hab ich nicht nachgedacht. Entschuldige bitte!
Die Anfrage geht natürlich nur auf meinem Rechner face-wink

Du kannst dir deinen Filter aber ganz leicht selber zusammenklicken.

Als Quelle nimmst du "Microsoft Windows-Sicherheitsüberprüfung."
und bei Aufgabenkategorie kannst du "Anmelden, Abmelden" nehmen.

liebe Grüße,
drnatur.
Penny.Cilin
Penny.Cilin 20.06.2012 um 14:05:53 Uhr
Goto Top
Das funktioniert NICHT.

 <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 ) and Security[@UserID='S-1-5-21-........']]]</Select>
  </Query>
</QueryList> 

Die Anzeige bleibt leer.
Rico55
Rico55 20.06.2012 um 14:15:21 Uhr
Goto Top
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
godlie
godlie 20.06.2012 aktualisiert um 14:18:59 Uhr
Goto Top
Hallo,

hast du mal versucht nach der EreignisID 4648 zu suchen, bzw. Prozessname winlogon.exe?
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(Level=4 or Level=0) and (EventID=4648)]]</Select>  
  </Query>
</QueryList>
Penny.Cilin
Penny.Cilin 20.06.2012 um 14:34:04 Uhr
Goto Top
Zitat von @Rico55:
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>

Dann siehst Du alle Anmeldungen. Ein Filter auf eine bestimmte Benutzerkennung ist anscheinend nicht möglich.
godlie
godlie 20.06.2012 um 14:55:19 Uhr
Goto Top
Hallo eine Filterung ist sehr wohl möglich man muss es nur richtig verketten:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =  
12544 or Task = 12545 )]]
       and
      *[EventData[Data[@Name='TargetUsername'] and (Data='GEWOLLTER BENUTZERNAME')]]  
    </Select>
  </Query>
</QueryList>

viel spaß damit
Penny.Cilin
Penny.Cilin 20.06.2012 aktualisiert um 15:06:19 Uhr
Goto Top
Dann bearbeitst Du den Query direkt, denn wenn ich im Feld User eine Benutzerkennung angebe, ist die Liste leer.
godlie
godlie 20.06.2012 um 15:08:04 Uhr
Goto Top
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen face-smile
Penny.Cilin
Penny.Cilin 20.06.2012 um 15:19:34 Uhr
Goto Top
Zitat von @godlie:
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen face-smile

OK, dazu muss man dann aber erstmal auf die XML Anzeige umsachalten. Damit man die benötigten Felder kommt.
Wobei, wenn Du den Filter direkt via XML editierst, funktioniert doch die Filterung nicht mehr via dem Action Tab.
Kann man dies denn wieder zurückstellen?
godlie
godlie 20.06.2012 um 15:23:45 Uhr
Goto Top
Das glaub ich nicht, da bei der Maske ja eine Generierung stattfindet und der dir dann mit Sicherheit die "Custom Values" rauswirft.
Hier wird wie immer das entweder oder Prinzip gelten.
Penny.Cilin
Penny.Cilin 20.06.2012 um 15:28:17 Uhr
Goto Top
Habe zumindest wieder etwas gelernt. Danke face-big-smile
kolli01
kolli01 25.06.2012 um 09:46:53 Uhr
Goto Top
Zitat von @Rico55:
Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.

Weiß das wer?

Wenns man nur den schnellen Überblick braucht, gehts auch ohne Queries.
Im beschriebenen Fall das lokale Eventlog Sicherheit einfach nach den Ereignis-IDs 4800 (Bildschirm sperren) und 4801 (Bildschirm entsperren filtern. Der entsprechende Benutzer wird dann in der Detailanzeige angezeigt

Gruß kolli