Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Eventlog, wann angemeldet?

Frage Microsoft

Mitglied: Rico55

Rico55 (Level 1) - Jetzt verbinden

20.06.2012 um 11:31 Uhr, 19273 Aufrufe, 21 Kommentare

Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz durchblicke.

Weiß das wer?
Mitglied: Penny.Cilin
20.06.2012 um 11:42 Uhr
Halli hallo hallöle,

man kann das Eventlog filtern. Setze doch den Filter einfach auf dein Benutzerkonto (User ID).
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 12:00 Uhr
Was meinst du denn genau für eine UserID?
Die SID?
Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 12:36 Uhr
Zitat von Rico55:
Was meinst du denn genau für eine UserID?

User ID := Benutzerkonto.

Über meinen usernamen Domäne\username findet der Filter auf jeden Fall nichts.
Nach Audit Sucess lohnt sich das auch nicht , da bekomme ich xxxxxx Ergebnisse.

Dann mußt Du das Eventlog besser filtern. Auf meinem Windows Server 2008 sehe ich die Anmeldungen unter der Task Category
Special Logon
. Dort wird mir das Benutzerkonto (User ID) angezeigt.

Und gegebenenfalls halt mal die Einträge im Eventlog anklicken, um die Details zu sehen. Irgenwann findest Du einen Eintrag, wann eine Anmeldung mit einem Benutzerkonto stattgefunden hat.
Bitte warten ..
Mitglied: drnatur
20.06.2012 um 13:09 Uhr
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:12 Uhr
Ok vielleicht haben wir da aneinender vorbei geredet.

Es geht mir um die Anmeldung an meiner Workstation.
Soweit ich weiß hat der DC damit gar nichts zu tun; dass ADPasswort wird aus dem Cache der Workstation geholt, daher glaube ich nicht, dass der DC davon irgendwas registriert.
Wenn ich das Eventlog nach Task Category ordne, bekomme ich natürlich alle Special Logons.
Sobald ich die UserID dazu mache, bekomme ich 0 Ergebnisse (also sowohl Domäne\user als auch Workstation\user)

Wenn ich mir das Eventlog so anschaue, ist das auch logisch, weil User im Filter wahrscheinlich != Security ID ist und bei dem echten Feld User steht im Log N/A

Wo ist mein Denkfehler?
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:14 Uhr
Zitat von drnatur:
hallo,

du kannst auch den Filter manuell bearbeiten und dabei folgendes eintragen.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 or Task = 12546 )]]</Select>
</Query>
</QueryList>

liebe Grüße,
drnatur

The Event Log query specified is invalid
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012, aktualisiert um 13:27 Uhr
Dann klicke doch einfach mal einen Eintrag des Special Logon an und Du wirst Dein Benutzerkonto sehen. Gegebenenfalls mehrere Einträge anklicken.

[edit] Rechtschreibfehler korrigiert.
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 13:47 Uhr
Gna...
Also können wir uns mal darauf einigen das ich mit hoher Wahrscheinlichkeit dazu in der Lage bin einen Namen aus einem Log auszulesen; also den Workflow den ich selbst am Anfang schon beschrieben habe ?


Wenn ich den Filter setze über die GUI bekomme ich 0 Ergebnisse, wenn ich als User: Accountname eintrage, und zwar den selben Accountnamen der so im Log steht.

Dazu hier noch den XML Output

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Security[@UserID='S-1-5-21-4711usw ']]]</Select>
</Query>
</QueryList>
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 13:52 Uhr
Das kannst du so nicht fiiltern, weil die Information bzgl. der Benutzerkennung in den Details der Task Category Special Logon stehen.
Bitte warten ..
Mitglied: drnatur
20.06.2012 um 13:58 Uhr
Zitat von Rico55:
The Event Log query specified is invalid

hoppla,

da hab ich nicht nachgedacht. Entschuldige bitte!
Die Anfrage geht natürlich nur auf meinem Rechner

Du kannst dir deinen Filter aber ganz leicht selber zusammenklicken.

Als Quelle nimmst du "Microsoft Windows-Sicherheitsüberprüfung."
und bei Aufgabenkategorie kannst du "Anmelden, Abmelden" nehmen.

liebe Grüße,
drnatur.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 14:05 Uhr
Das funktioniert NICHT.

 <QueryList> 
  <Query Id="0" Path="Security"> 
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 ) and Security[@UserID='S-1-5-21-........']]]</Select> 
  </Query> 
</QueryList> 
Die Anzeige bleibt leer.
Bitte warten ..
Mitglied: Rico55
20.06.2012 um 14:15 Uhr
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>
Bitte warten ..
Mitglied: godlie
20.06.2012, aktualisiert um 14:18 Uhr
Hallo,

hast du mal versucht nach der EreignisID 4648 zu suchen, bzw. Prozessname winlogon.exe?
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(Level=4 or Level=0) and (EventID=4648)]]</Select> 
04.
  </Query> 
05.
</QueryList>
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 14:34 Uhr
Zitat von Rico55:
Das hat geklappt,

danke euch Beiden.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task =
12544 or Task = 12545 )]]</Select>
</Query>
</QueryList>

Dann siehst Du alle Anmeldungen. Ein Filter auf eine bestimmte Benutzerkennung ist anscheinend nicht möglich.
Bitte warten ..
Mitglied: godlie
20.06.2012 um 14:55 Uhr
Hallo eine Filterung ist sehr wohl möglich man muss es nur richtig verketten:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security"> 
04.
      *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 
05.
12544 or Task = 12545 )]] 
06.
       and 
07.
      *[EventData[Data[@Name='TargetUsername'] and (Data='GEWOLLTER BENUTZERNAME')]] 
08.
    </Select> 
09.
  </Query> 
10.
</QueryList>
viel spaß damit
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012, aktualisiert um 15:06 Uhr
Dann bearbeitst Du den Query direkt, denn wenn ich im Feld User eine Benutzerkennung angebe, ist die Liste leer.
Bitte warten ..
Mitglied: godlie
20.06.2012 um 15:08 Uhr
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 15:19 Uhr
Zitat von godlie:
Das hat nichts mit der Benutzerkennung zu tun, ja ich bearbeite den Filter direkt, kann man viel mehr machen

OK, dazu muss man dann aber erstmal auf die XML Anzeige umsachalten. Damit man die benötigten Felder kommt.
Wobei, wenn Du den Filter direkt via XML editierst, funktioniert doch die Filterung nicht mehr via dem Action Tab.
Kann man dies denn wieder zurückstellen?
Bitte warten ..
Mitglied: godlie
20.06.2012 um 15:23 Uhr
Das glaub ich nicht, da bei der Maske ja eine Generierung stattfindet und der dir dann mit Sicherheit die "Custom Values" rauswirft.
Hier wird wie immer das entweder oder Prinzip gelten.
Bitte warten ..
Mitglied: Penny.Cilin
20.06.2012 um 15:28 Uhr
Habe zumindest wieder etwas gelernt. Danke
Bitte warten ..
Mitglied: kolli01
25.06.2012 um 09:46 Uhr
Zitat von Rico55:
Hallo,

ich arbeite unter Windows 7 64 bit und sperre meist meinen Rechner einfach (Windowstaste +L) bevor ich nach Hause gehen.
Ich würde gerne wissen ob es eine einfache Lösung gibt, mit der ich feststellen kann wann ich mich danach wieder mit
STRG+ALT+ENTF angemeldet und eingeloggt habe.
Ich habe schon mal im Eventlog in den Security Ereignissen geschaut, aber da wird so viel protokolliert, dass ich nicht ganz
durchblicke.

Weiß das wer?

Wenns man nur den schnellen Überblick braucht, gehts auch ohne Queries.
Im beschriebenen Fall das lokale Eventlog Sicherheit einfach nach den Ereignis-IDs 4800 (Bildschirm sperren) und 4801 (Bildschirm entsperren filtern. Der entsprechende Benutzer wird dann in der Detailanzeige angezeigt

Gruß kolli
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...