21
Windows Eventlog, wann angemeldet?
Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.
Weiß das wer?
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.
Weiß das wer?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186752
Url: https://administrator.de/contentid/186752
Printed on: April 16, 2024 at 19:04 o'clock
21 Comments
Latest comment
Halli hallo hallöle,
man kann das Eventlog filtern. Setze doch den Filter einfach auf dein Benutzerkonto (User ID).
man kann das Eventlog filtern. Setze doch den Filter einfach auf dein Benutzerkonto (User ID).
Was meinst du denn genau für eine UserID?
Die SID?
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Die SID?
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
User ID := Benutzerkonto.
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Dann mußt Du das Eventlog besser filtern. Auf meinem Windows Server 2008 sehe ich die Anmeldungen unter der Task Category
Special LogonUnd gegebenenfalls halt mal die Einträge im Eventlog anklicken, um die Details zu sehen. Irgenwann findest Du einen Eintrag, wann eine Anmeldung mit einem Benutzerkonto stattgefunden hat.
hallo,
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
Ok vielleicht haben wir da aneinender vorbei geredet.
Es geht mir um die Anmeldung an meiner Workstation.
Soweit ich weiß hat der DC damit gar nichts zu tun; dass ADPasswort wird aus dem Cache der Workstation geholt, daher glaube ich nicht, dass der DC davon irgendwas registriert.
Wenn ich das Eventlog nach Task Category ordne, bekomme ich natürlich alle Special Logons.
Sobald ich die UserID dazu mache, bekomme ich 0 Ergebnisse (also sowohl Domäne\user als auch Workstation\user)
Wenn ich mir das Eventlog so anschaue, ist das auch logisch, weil User im Filter wahrscheinlich != Security ID ist und bei dem echten Feld User steht im Log N/A
Wo ist mein Denkfehler?
Es geht mir um die Anmeldung an meiner Workstation.
Soweit ich weiß hat der DC damit gar nichts zu tun; dass ADPasswort wird aus dem Cache der Workstation geholt, daher glaube ich nicht, dass der DC davon irgendwas registriert.
Wenn ich das Eventlog nach Task Category ordne, bekomme ich natürlich alle Special Logons.
Sobald ich die UserID dazu mache, bekomme ich 0 Ergebnisse (also sowohl Domäne\user als auch Workstation\user)
Wenn ich mir das Eventlog so anschaue, ist das auch logisch, weil User im Filter wahrscheinlich != Security ID ist und bei dem echten Feld User steht im Log N/A
Wo ist mein Denkfehler?
Zitat von @drnatur:
hallo,
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
hallo,
du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>
liebe Grüße,
drnatur
The Event Log query specified is invalid
Dann klicke doch einfach mal einen Eintrag des Special Logon an und Du wirst Dein Benutzerkonto sehen. Gegebenenfalls mehrere Einträge anklicken.
[edit] Rechtschreibfehler korrigiert.
[edit] Rechtschreibfehler korrigiert.
Gna...
Also können wir uns mal darauf einigen das ich mit hoher Wahrscheinlichkeit dazu in der Lage bin einen Namen aus einem Log auszulesen; also den Workflow den ich selbst am Anfang schon beschrieben habe
?
Wenn ich den Filter setze über die GUI bekomme ich 0 Ergebnisse, wenn ich als User: Accountname eintrage, und zwar den selben Accountnamen der so im Log steht.
Dazu hier noch den XML Output
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Security[@UserID='S-1-5-21-4711usw ']]]</Select>
</Query>
</QueryList>
Also können wir uns mal darauf einigen das ich mit hoher Wahrscheinlichkeit dazu in der Lage bin einen Namen aus einem Log auszulesen; also den Workflow den ich selbst am Anfang schon beschrieben habe
?Wenn ich den Filter setze über die GUI bekomme ich 0 Ergebnisse, wenn ich als User: Accountname eintrage, und zwar den selben Accountnamen der so im Log steht.
Dazu hier noch den XML Output
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Security[@UserID='S-1-5-21-4711usw ']]]</Select>
</Query>
</QueryList>
Das kannst du so nicht fiiltern, weil die Information bzgl. der Benutzerkennung in den Details der Task Category Special Logon stehen.
hoppla,
da hab ich nicht nachgedacht. Entschuldige bitte!
Die Anfrage geht natürlich nur auf meinem Rechner
Du kannst dir deinen Filter aber ganz leicht selber zusammenklicken.
Als Quelle nimmst du "Microsoft Windows-Sicherheitsüberprüfung."
und bei Aufgabenkategorie kannst du "Anmelden, Abmelden" nehmen.
liebe Grüße,
drnatur.
Das funktioniert NICHT.
Die Anzeige bleibt leer.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 ) and Security[@UserID='S-1-5-21-........']]]</Select>
</Query>
</QueryList> Die Anzeige bleibt leer.
Das hat geklappt,
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Hallo,
hast du mal versucht nach der EreignisID 4648 zu suchen, bzw. Prozessname winlogon.exe?
hast du mal versucht nach der EreignisID 4648 zu suchen, bzw. Prozessname winlogon.exe?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and (EventID=4648)]]</Select>
</Query>
</QueryList>Zitat von @Rico55:
Das hat geklappt,
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Das hat geklappt,
danke euch Beiden.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Dann siehst Du alle Anmeldungen. Ein Filter auf eine bestimmte Benutzerkennung ist anscheinend nicht möglich.
Hallo eine Filterung ist sehr wohl möglich man muss es nur richtig verketten:
viel spaß damit
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]
and
*[EventData[Data[@Name='TargetUsername'] and (Data='GEWOLLTER BENUTZERNAME')]]
</Select>
</Query>
</QueryList>viel spaß damit
Dann bearbeitst Du den Query direkt, denn wenn ich im Feld User eine Benutzerkennung angebe, ist die Liste leer.
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen 
Zitat von @godlie:
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
OK, dazu muss man dann aber erstmal auf die XML Anzeige umsachalten. Damit man die benötigten Felder kommt.
Wobei, wenn Du den Filter direkt via XML editierst, funktioniert doch die Filterung nicht mehr via dem Action Tab.
Kann man dies denn wieder zurückstellen?
Das glaub ich nicht, da bei der Maske ja eine Generierung stattfindet und der dir dann mit Sicherheit die "Custom Values" rauswirft.
Hier wird wie immer das entweder oder Prinzip gelten.
Hier wird wie immer das entweder oder Prinzip gelten.
Habe zumindest wieder etwas gelernt. Danke
Zitat von @Rico55:
Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.
Weiß das wer?
Wenns man nur den schnellen Überblick braucht, gehts auch ohne Queries.Hallo,
ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.
Weiß das wer?
Im beschriebenen Fall das lokale Eventlog Sicherheit einfach nach den Ereignis-IDs 4800 (Bildschirm sperren) und 4801 (Bildschirm entsperren filtern. Der entsprechende Benutzer wird dann in der Detailanzeige angezeigt
Gruß kolli
