20ivs, странно... точно помню в доке сообщалось, что каждое соединение использует как минимум 2 сессии: на прием и передачу. Плюс, если все удачно, то поднимает еще по одной сессии в каждом направлении. И может, кроме HTTP еще и 1 сессию UDP поднять. Ссылка осталась на работе, так что пока подтвердить не могу...
Так если у вас по одной сессии - зачем вам мой способ ?! У меня-то сразу были видны накладывающиеся диапазоны сессий на 1 пользователя после выгрузки и сортировки в .csv
Способ простой - выборка по юзеру + сортировка по TimeStart = TimeCreated - SessionDuration, потом только окончания диапазонов проверяются на попадание в предыдущий диапазон и либо откидывается, либо суммируется.
О! Почти такой же скрипт делал - продолжительность подключения пользователя к шлюзу RD.
А вы что, хотите просто сложить SessionDuration ? Там же на 1 соединение до 4-5 сессий может быть. При чем сессии накладываются друг на друга. Т.е. одна еще не закончилась по 303 событию, а начинается другая...
Дмитрий Крымцев, рабочий вариант. Мы так периодически делаем. У нас доменные учетки и все локальные пользователи (в том числе и админские) отключены, согласно требованиям СИБ. И когда хост теряет доверительные отношения с доменом - то только этим методом и спасаемся. Раньше еще проще делали - заменяли в %windir%\system32 файл Utilman.exe на cmd.exe и при загрузке тыкали в кнопку спец.возможности - консоль и запускалась от имени system. Но с недавних пор Каспер начал проверять сустемные файлы и безопасникам начали сыпаться предупреждения, что, мол, подозрение на троян ))) Даже если возвращаешь исходный файл на место.
Jordan_H, У Вас данные переменные уже есть ?.. Зачем Вы тогда используете командлет New-Variable ?
PoSh создаст просто "пустую", непривязанную ни к какому объекту переменную. Вам же надо получить уже существующие имена переменных - используйте Get-Variable
Странно... У меня четко Logon Type выдает 2 - вход и 7 - разблокировка. В ивенте 4624 нет блокировки. Есть еще тип 11 - кэшированный вход.
Вот взял с домашнего:
TimeCreated AccountName AccountDomain LogonType
23.04.2020 22:52:16 -----@hotmail.com MicrosoftAccount 7
23.04.2020 22:52:08 DWM-2 Window Manager 2
23.04.2020 22:52:08 DWM-2 Window Manager 2
23.04.2020 22:52:06 UMFD-2 Font Driver Host 2
Вот такой код что-нибудь интересное выдаст ?