Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Eventlog, wann angemeldet?

Frage Microsoft

Mitglied: Rico55

Rico55 (Level 1) - Jetzt verbinden

20.06.2012 um 11:31 Uhr, 22755 Aufrufe, 21 Kommentare

Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.

Weiß das wer?
Mitglied: Penny.Cilin
20.06.2012 um 11:42 Uhr
Halli hallo hallöle,

man kann das Eventlog filtern. Setze doch den Filter einfach auf dein Benutzerkonto (User ID).
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 12:00 Uhr
Was meinst du denn genau für eine UserID?
Die SID?
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 12:36 Uhr
Zitat von Rico55:
Was meinst du denn genau für eine UserID?

User ID := Benutzerkonto.

Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.

Dann mußt Du das Eventlog besser filtern. Auf meinem Windows Server 2008 sehe ich die Anmeldungen unter der Task Category
Special Logon
. Dort wird mir das Benutzerkonto (User ID) angezeigt.

Und gegebenenfalls halt mal die Einträge im Eventlog anklicken, um die Details zu sehen. Irgenwann findest Du einen Eintrag, wann eine Anmeldung mit einem Benutzerkonto stattgefunden hat.
Bitte warten ..
Mitglied: drnatur
20.06.2012 um 13:09 Uhr
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:12 Uhr
Ok vielleicht haben wir da aneinender vorbei geredet.

Es geht mir um die Anmeldung an meiner Workstation.
Soweit ich weiß hat der DC damit gar nichts zu tun; dass ADPasswort wird aus dem Cache der Workstation geholt, daher glaube ich nicht, dass der DC davon irgendwas registriert.
Wenn ich das Eventlog nach Task Category ordne, bekomme ich natürlich alle Special Logons.
Sobald ich die UserID dazu mache, bekomme ich 0 Ergebnisse (also sowohl Domäne\user als auch Workstation\user)

Wenn ich mir das Eventlog so anschaue, ist das auch logisch, weil User im Filter wahrscheinlich != Security ID ist und bei dem echten Feld User steht im Log N/A

Wo ist mein Denkfehler?
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:14 Uhr
Zitat von drnatur:
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur

The Event Log query specified is invalid
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012, aktualisiert um 13:27 Uhr
Dann klicke doch einfach mal einen Eintrag des Special Logon an und Du wirst Dein Benutzerkonto sehen. Gegebenenfalls mehrere Einträge anklicken.

[edit] Rechtschreibfehler korrigiert.
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:47 Uhr
Gna...
Also können wir uns mal darauf einigen das ich mit hoher Wahrscheinlichkeit dazu in der Lage bin einen Namen aus einem Log auszulesen; also den Workflow den ich selbst am Anfang schon beschrieben habe ?


Wenn ich den Filter setze über die GUI bekomme ich 0 Ergebnisse, wenn ich als User: Accountname eintrage, und zwar den selben Accountnamen der so im Log steht.

Dazu hier noch den XML Output

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Security[@UserID='S-1-5-21-4711usw ']]]</Select>
</Query>
</QueryList>
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 13:52 Uhr
Das kannst du so nicht fiiltern, weil die Information bzgl. der Benutzerkennung in den Details der Task Category Special Logon stehen.
Bitte warten ..
Mitglied: drnatur
20.06.2012 um 13:58 Uhr
Zitat von Rico55:
The Event Log query specified is invalid

hoppla,

da hab ich nicht nachgedacht. Entschuldige bitte!
Die Anfrage geht natürlich nur auf meinem Rechner

Du kannst dir deinen Filter aber ganz leicht selber zusammenklicken.

Als Quelle nimmst du "Microsoft Windows-Sicherheitsüberprüfung."
und bei Aufgabenkategorie kannst du "Anmelden, Abmelden" nehmen.

liebe Grüße,
drnatur.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 14:05 Uhr
Das funktioniert NICHT.

 <QueryList> 
  <Query Id="0" Path="Security"> 
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 ) and Security[@UserID='S-1-5-21-........']]]</Select> 
  </Query> 
</QueryList> 
Die Anzeige bleibt leer.
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 14:15 Uhr
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Bitte warten ..
Mitglied: godlie
20.06.2012, aktualisiert um 14:18 Uhr
Hallo,

hast du mal versucht nach der EreignisID 4648 zu suchen, bzw. Prozessname winlogon.exe?
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(Level=4 or Level=0) and (EventID=4648)]]</Select> 
04.
  </Query> 
05.
</QueryList>
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 14:34 Uhr
Zitat von Rico55:
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>

Dann siehst Du alle Anmeldungen. Ein Filter auf eine bestimmte Benutzerkennung ist anscheinend nicht möglich.
Bitte warten ..
Mitglied: godlie
20.06.2012 um 14:55 Uhr
Hallo eine Filterung ist sehr wohl möglich man muss es nur richtig verketten:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security"> 
04.
      *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 
05.
12544 or Task = 12545 )]] 
06.
       and 
07.
      *[EventData[Data[@Name='TargetUsername'] and (Data='GEWOLLTER BENUTZERNAME')]] 
08.
    </Select> 
09.
  </Query> 
10.
</QueryList>
viel spaß damit
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012, aktualisiert um 15:06 Uhr
Dann bearbeitst Du den Query direkt, denn wenn ich im Feld User eine Benutzerkennung angebe, ist die Liste leer.
Bitte warten ..
Mitglied: godlie
20.06.2012 um 15:08 Uhr
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 15:19 Uhr
Zitat von godlie:
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen

OK, dazu muss man dann aber erstmal auf die XML Anzeige umsachalten. Damit man die benötigten Felder kommt.
Wobei, wenn Du den Filter direkt via XML editierst, funktioniert doch die Filterung nicht mehr via dem Action Tab.
Kann man dies denn wieder zurückstellen?
Bitte warten ..
Mitglied: godlie
20.06.2012 um 15:23 Uhr
Das glaub ich nicht, da bei der Maske ja eine Generierung stattfindet und der dir dann mit Sicherheit die "Custom Values" rauswirft.
Hier wird wie immer das entweder oder Prinzip gelten.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 15:28 Uhr
Habe zumindest wieder etwas gelernt. Danke
Bitte warten ..
Mitglied: kolli01
25.06.2012 um 09:46 Uhr
Zitat von Rico55:
Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.

Weiß das wer?

Wenns man nur den schnellen Überblick braucht, gehts auch ohne Queries.
Im beschriebenen Fall das lokale Eventlog Sicherheit einfach nach den Ereignis-IDs 4800 (Bildschirm sperren) und 4801 (Bildschirm entsperren filtern. Der entsprechende Benutzer wird dann in der Detailanzeige angezeigt

Gruß kolli
Bitte warten ..
Ähnliche Inhalte
Windows 7
Welcher User war wann angemeldet Win7
gelöst Frage von MarcysWindows 78 Kommentare

Hallo zusammen, ich habe die Vermutung, dass ein Kollege das Domänen Admin Passwort kennt, da Änderungen an seinem PC ...

Windows Server
Windows Eventlog Abonnements
Frage von emeriksWindows Server1 Kommentar

Hi, hat jemand von Euch unter Windows Server Eventlog Abonnements im Einsatz? Ich überlege, das "im großen Stil" einzusetzen. ...

Windows 7
Wann wurde Windows aktiviert
Frage von gardenzwergWindows 719 Kommentare

Hallo Leute Wo sehe wann Windows 7 aktiviert worden ist ? Und wann Windows installiert worden ist Besten Dank

Windows Server
Wie kann ich das Eventlog reparieren?
Frage von joni2000deWindows Server3 Kommentare

Hallo, kann mir jemand beim meinem Problem wie in dieser Frage ganz unten beschrieben weiter helfen? Ich habe mich ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...