it-swarm-ja.com

Windowsドメインコントローラーでユーザーログインを検出する

Windows DC(Win Server 2012)でユーザーログインイベントを検出しようとしていますが、次の問題が発生しています。

  • イベント 4624 は自動的に生成される可能性があるため、実際には確実ではありません。たとえば、 グループポリシーが自動的に更新される の場合。

  • ローカルコンピューターがユーザーの資格情報をキャッシュしている可能性があるため、ユーザーのログオンはDCによって検出されません。

私の主な目標は、ユーザーが勤務時間外に自分のコンピューターにアクセスしたとき、つまり、午後22時から午前7時の間にアクティビティを行っているユーザーを検出することです。また、私の唯一のデータソースは、ドメインコントローラーで生成された.evtxファイルです。

7
DiegoS

あなたが述べたように、DCは、キャッシュされた資格情報を持つリモートコンピューターのログインをキャプチャしません。コンピューターが常にドメインに物理的に接続されているとは限らないためです。代わりに、彼のコンピューターを確認する必要があります。彼のコンピュータがオンラインの間に直接。

イベントビューアーまたはコマンドプロンプトでwevtutilコマンドを使用して、リモートコンピューター上のイベントログを管理できます。

  1. イベントビューアを起動します。
  2. コンソールツリーで、ルートノード、たとえばEvent Viewer(Local)をクリックします。
  3. ActionメニューのConnect to Another Computerをクリックします
  4. 別のコンピューターボックスに、リモートコンピューターの名前またはIPアドレスを入力します。
  5. (オプション)別のユーザーとして接続を選択し、ユーザーの設定をクリックして入力しますユーザー名パスワードをクリックし、[〜#〜] ok [〜#〜]
  6. クリック[〜#〜] ok [〜#〜]

ソース: リモートコンピューターでイベントログを操作する-Microsoft TechNet

彼のコンピューターで イベント4648-明示的な資格情報を使用してログオンが試行されました を検索します。

説明にあるように、ログオンで明示的な資格情報が使用される場合のみです。このイベントは、保存された資格情報(リモートデスクトップなど)でもログインまたはロック解除時に生成されます。

注:他のイベントと同様に、追加のフィルタリングを実行して、自動的に生成されたイベントを削除できます(4648とユーザー名ではあまり一般的ではありません)。 GUI([フィルター]タブ)は、一部のフィールドでフィルタリングを提供します。 [XML]タブを使用すると、イベント内の任意のフィールドでフィルタリングできます。

2
Steven