Как сделать XML фильтр события журнала Windows на вход/выход и блокировку/разблокировку компьютера пользователем?

Question

[Андрей Стрелков]

Добрый день, есть задача групповыми политиками накатить 4 задания на компьютеры пользователи в сети.
Суть этих заданий запуск определенного vb скрипта на 4 вида события:

1. Вход в компьютер под учётной записью
2. Выход с компьютера
3. Блокировка компьютера (Win+L)
4. Разблокировка

Причём надо получается такие задачи сделать, чтобы их можно было накатить на Windows 7 и Windows 10

Смущает то что в Интернете пишут различные виды ID события на какой правильно опираться? Вроде если использовать 4624 , то под этим ID не только вход, но и запуск приложений от имени компьютера, и др. Т.е. под одним ID множество возможно действий со стороны пользователя

Comments

[ru6ak]

вот сейчас посмотрел на терминальном сервере (2008r2) 4624 только логоны пользователей в том числе пользователя system. Уберите пользователя system и будет счастье ?

[Андрей Стрелков]

ru6ak, пробывали, но когда запускаются какие сервисы, службы и т.п. от уже авторизованной учётки, снова такие эвенты появляются

[Andrew AT]

А 'Logon Type' пробовали использовать ? Я, для своих задач, фильтровал именно по типу.

Гляньте, может пригодится:

[Andrew AT]

sorry:

[Andrew AT]

что-то у меня ссылки не вставляются...

[Андрей Стрелков]

Andrew AT,
да
использую такой фильтр

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and (Data=2)]]</Select>
  </Query>
</QueryList>

Проблема в том, что почему то при входе их сразу 2 создаётся, и этот эвент, срабатывает как при входе (первом при загрузке компьютера) так и разблокировке.

Более того, если копать дальше, то можно обратить внимание что на самом деле 4624 (блокировка) в журнале фиксируется в то же время что и разблокировка 4634
Получается событие блокировки сработает только тогда, когда разблокирую компьютер :/

[Andrew AT]

Андрей Стрелков,

Странно... У меня четко Logon Type выдает 2 - вход и 7 - разблокировка. В ивенте 4624 нет блокировки. Есть еще тип 11 - кэшированный вход.

Вот взял с домашнего:
TimeCreated AccountName AccountDomain LogonType
23.04.2020 22:52:16 -----@hotmail.com MicrosoftAccount 7
23.04.2020 22:52:08 DWM-2 Window Manager 2
23.04.2020 22:52:08 DWM-2 Window Manager 2
23.04.2020 22:52:06 UMFD-2 Font Driver Host 2

Вот такой код что-нибудь интересное выдаст ?

get-winevent -LogName Security -MaxEvents 1000 | Where-Object {$_.ID -eq '4624'} |         
   ? {$_.Properties[8].Value -eq '2' -or $_.Properties[8].Value -eq '7' -or $_.Properties[8].Value -eq '11'} |    
    Select-Object -Property TimeCreated,
                            @{Name='SecurityId';Expression={$_.Properties[4].Value}},
                            @{Name='AccountName';Expression={$_.Properties[5].Value}},
                            @{Name='AccountDomain';Expression={$_.Properties[6].Value}},
                            @{Name='LogonId';Expression={$_.Properties[7].Value}},
                            @{Name='LogonType';Expression={$_.Properties[8].Value}},
                            @{Name='Workstation';Expression={$_.Properties[11].Value}},
                            @{Name='LogonGuid';Expression={$_.Properties[12].Value}} |  Format-Table -AutoSize

[Андрей Стрелков]

Andrew AT,

В 22:33 нажал Win+L
в 22:34 обратно вошёл в учётку

TimeCreated         SecurityId                                    AccountName  AccountDomain     LogonId LogonType Workstation     LogonGuid                           
-----------         ----------                                    -----------  -------------     ------- --------- -----------     ---------                           
29.04.2020 22:34:09 S-1-5-21-2937884686-2338845544-174854140-1001 strelkov.av  DESKTOP-0F4KNK8  12737675         2 DESKTOP-0F4KNK8 00000000-0000-0000-0000-000000000000
29.04.2020 22:34:09 S-1-5-21-2937884686-2338845544-174854140-1001 strelkov.av  DESKTOP-0F4KNK8  12737643         2 DESKTOP-0F4KNK8 00000000-0000-0000-0000-000000000000

[Andrew AT]

Андрей Стрелков, мдя... ну хоть TargetLogonId разный. Наверное, по нему можно найти ивенты с таким же ID и глянуть что происходит.

[Андрей Стрелков]

Andrew AT,
странно, нашёл в интернетах такой скрипт

Param (
 [string]$Computer = (Read-Host Remote computer name),
 [int]$Days = 1
 )
$events = @()
$events += Get-WinEvent -ComputerName $Computer -FilterHashtable @{ 
        LogName='Security'
    Id=@(529,4634,4647,4800,4801,4624,540)
    StartTime=(Get-Date).AddDays(-$Days) 
}
$events += Get-WinEvent -ComputerName $Computer -FilterHashtable @{ 
        LogName='System'
    Id=@(7001,7002)
    StartTime=(Get-Date).AddDays(-$Days) 
}


$type_lu = @{
    7001 = 'Logon'
    7002 = 'Logoff'
    4800 = 'Lock'
    4801 = 'UnLock'
    529  = 'Logon Failure'
    540  = 'Successful Network Logon'
    4634 = 'An account was logged off'
    4624 = 'An account was successfully logged on'
    4647 = 'User initiated logoff'
    4608 = 'Windows is starting up'
    4609 = 'Windows is shutting down'
}

$ns = @{'ns'='http://schemas.microsoft.com/win/2004/08/events/event'}
$target_xpath = "//ns:Data[@Name='TargetUserName']"
$usersid_xpath = "//ns:Data[@Name='UserSid']"

If($events) {
    $results = ForEach($event in $events) {
        $xml = $event.ToXml()
        Switch -Regex ($event.Id) {
            '4...' {
                $user = (
                    Select-Xml -Content $xml -Namespace $ns -XPath $target_xpath
                ).Node.'#text'
                Break            
            }
            '7...' {
                $sid = (
                    Select-Xml -Content $xml -Namespace $ns -XPath $usersid_xpath
                ).Node.'#text'
                $user = (
                    New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' -ArgumentList $sid
                ).Translate([System.Security.Principal.NTAccount]).Value
                Break
            }
        }
        New-Object -TypeName PSObject -Property @{
            Time = $event.TimeCreated
            Id = $event.Id
            Type = $type_lu[$event.Id]
            User = $user
                        
        }
    }
    If($results) {
        #$results
        $Results | Sort Time -Descending | Out-GridView
    }
}
<#Logon types possible:

Logon Type- Description
 
2- Interactive (logon at keyboard and screen of system) Windows 2000 records Terminal Services logon as this type rather than Type 10.
3- Network (i.e. connection to shared folder on this computer from elsewhere on network or IIS logon - Never logged by 528 on W2k and forward. See event 540) 
4- Batch (i.e. scheduled task) 
5- Service (Service startup) 
7- Unlock (i.e. unnattended workstation with password protected screen saver) 
8- NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") 
9- NewCredentials 
10- RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) 
11- CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network) 
#>

сделал logoff и позже logon, запустил его и он мне показал



хм, почему такие эвенты 7001, 7002 в Просмотре событий не отображены? :/

[Andrew AT]

Андрей Стрелков, О, классный скрипт ! Дак в нем два журнала используется - Безопасность и Система.

...странно, у меня ни одного моего события по 7001... вообщем, надо будет завтра разобрать этот скрипт.

Удачи!

[Андрей Стрелков]

Ах да, так и есть, он в Система
Погуглил ещё, и нашёл как активировать ещё аудит блокировки и разблокировки



теперь в безопасности появились ещё 2 эвента 4800/4801 (lock/unlock)
Осталось проверить есть ли такие эвенты в 7ке, т.к. может они в 10ке только завезли

Answer 1

[ru6ak]

1. Вход в компьютер под учётной записью
2. Выход с компьютера

Тут вообще проблемы нету, logon и logoff скрипты доступны из коробки. (только в 8,1 и скорей всего в 10 по умолчанию стоит отсрочка выполнения логон скриптов, но её можно убрать.)
По блокировке и разблокировке:
https://fooobar.com/questions/132997/eventviewer-e...
Пробывали ?