iT邦幫忙

2021 iThome 鐵人賽

DAY 30
0
Security

成為工具人應有的工具包系列 第 30

成為工具人應有的工具包-30 WinLogOnView

WinLogOnView

最後一天啦!一如往常
今天來認識這個簡單小工具,用來查看使用者登入資訊的東西~

WinLogOnView 是個可在 Windows 10/8/7/Vista/2008 上執行的簡單小工具,用於分析 Windows 作業系統的安全事件 Log,並檢查 User 登入和登出的日期/時間。
每次 User 登入登出系統時,會顯示以下資訊:

  • 登錄 ID
  • User Name
  • Domain
  • 電腦
  • 登入時間
  • 登出時間
  • 持續時間
  • network address
    WinLogOnView 還可以將登入 sessions 資料導出另存檔案。

已知限制:
此工具基於 Windows 的 security event log,顯示資訊的準確度取決於 security event log 中存放的資料的可用性和準確性。
某些資料可能會不見,例如沒有登出時間的登錄 session 。
但是知道 WinLogOnView 目前使用以下事件:

  • 4648(使用身份憑證登入成功)
  • 4647(登出)
  • 4624(User 登入成功)
  • 4800(工作站鎖定)

開始使用:
一樣點兩下 WinLogOnView.exe 執行後,主視窗會出現系統上檢查到的全部已登入的 sessions 的列表。可以使用“Save Selected Items”選項將列表匯出到 html/xml/tab-delimited/comma-delimited 檔案,還可以將所選項目複製貼上。

如果想取得網絡上遠端的登入/登出資訊,只需到“Advanced Options”視窗 (F9),選擇“Remote Computer”作為資料來源,然後輸入要連接的遠端電腦的名稱。

如果想從外接硬碟取得登入/登出資訊,只需選擇“External Disk”作資料來源,然後輸入 event log 的路徑(通常位於 C:\Windows\System32\winevt\Logs 下)就可囉!

這小工具簡單介紹就到這啦!
最後一天啦!恭喜自己!連續發了 30 天的廢文。
謝謝觀看的你們
前面等我有閒一點的時候會再來補上的 ><"


上一篇
成為工具人應有的工具包-29 TurnedOnTimesView
系列文
成為工具人應有的工具包30

尚未有邦友留言

立即登入留言