Run: eventvwr.msc
- Windows Security Log Events ID# Encyclopedia //www.ultimatewindowssecurity.com
- Audit Logon //docs.microsoft.com
- 11 лучших инструментов анализа логов //heritage-offshore.com
- Event Log Explorer ускоряет анализ логов Windows в 2 раза и более //eventlogxp.com
Коды событий
Event ID | Описание |
---|---|
1074 | Успешный вход учетной записи (An account was successfully logged on) |
1149 | (Remote Desktop Services: User authentication succeeded) Установление сетевого подключение к серверу от RDP клиента пользователя, событие не свидетельствует об успешной аутентификации пользователя. |
4624 | Успешный вход учетной записи (An account was successfully logged on) Пользователь успешно выполнил вход на компьютер. Тип входа:
|
4625 | An account failed to log on. Ошибка при работе с логотипом. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с неверным паролем. |
4634 | An account was logged off Для пользователя завершен процесс выхода из сети
|
4647 | User initiated logoff Пользователь инициировал процесс выхода из сети.
|
4648 | Попытка входа в систему с использованием явных учетных данных (A logon was attempted using explicit credentials)
|
4672 | Особые привилегии, назначенные новому входу в систему (Special privileges assigned to new logon)
|
4675 | SIDs were filtered |
4679 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. |
4798 | Запись пользователя была перечислена в списке (A user's local group membership was enumerated) |
///
Сценарии анализа
///
Настройка фильтра настраиваемого представления с помощью XPath
Журнал событий Windows использует XPath (XML Path Language — язык запросов к элементам XML-документа), но использует ограниченное подмножество XPath 1.0, допускающее только функции position, band (binary and), timediff.
Пример фильтрации событий входа в систему
1 2 3 4 5 6 7 8 9 |
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID=4624 or EventID=4625)]] and *[EventData[Data[@Name='LogonType'] and Data=10]] </Select> </Query> </QueryList> |
//
1 2 3 4 5 6 7 8 9 |
<QueryList> <Query Id="0"> <Select Path="Security"> *[EventData[Data="C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE"]] or *[UserData[*[*="C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE"]]] </Select> </Query> </QueryList> |
Настройка политики аудита
Аудит событий входа в систему требует специальной настройки в редакторе групповой политики, после которой система начнет сообщать о таких событиях (gpedit.msc)
Сценарии
Сценарий сеанса работы с удаленным рабочим столом
1149 Network Connection
4624/4625 Authentication
21 Logon
24/25/39/40/4778/4799 Session Disconnect/Reconnect
23/4634/9009 Logoff
Дополнение
Кроме журнала событий в Windows 10 1803 появилась система Временной шкалы, которая отображает последние действия пользователя в некоторых поддерживаемых программах и приложениях — браузерах, текстовых редакторах и других. Также она может отображать предыдущие действия со связанных мобильных устройств и других компьютеров или ноутбуков с той же учетной записью Майкрософт. Подробней "Как отключить временную шкалу в Windows 10" пишет //remontka.pro
Источники
- Аудит события входа //docs.microsoft.com
- Просмотр и анализ логов RDP подключений в Windows //winitpro.ru
- Event Log Explorer ускоряет анализ логов Windows в 2 раза и более //eventlogxp.com
- Exploring who logged on the system //eventlogxp.com
- Сбор и фильтрация событий входа в систему с помощью Log Parser InfoWatch@habr.com
- XPath (XML Path Language) — язык запросов к элементам XML-документа //ru.wikipedia.org
- Синтаксис XPath //msiter.ru