iT邦幫忙

0

AD win2008 稽核帳戶登入\登出時間相關問題?

已在DC上的本機性安全原則,將稽核帳戶登入事件開啟稽核成功跟失敗。
在檢視器有看到4624.4634的登入.登出事件,但事件數量非常多一天就有10萬多筆。
很多筆資料都是再同一時間登入又登出,有看到來源網路位置是信件主機,
信件主機認證是經由AD的,不知是否因為這個緣故。
在這樣的情況下,想要看到正常帳號登入跟登出的時間該怎麼做?
主要是想做到保存帳戶登入\登出時間三十天的紀錄。
若有需要提供其他資料 再麻煩跟我說

1 個回答

2
slime
iT邦大師 1 級 ‧ 2015-06-02 17:47:54
最佳解答

看看 Winlogon (Event ID: 7001) 會不會好一點?

看更多先前的回應...收起先前的回應...
vit5015 iT邦新手 4 級 ‧ 2015-06-03 08:38:40 檢舉

搜尋7001沒有半個事件 這樣是正常的嗎 還是我根本設定就設錯了..

hon2006 iT邦大師 1 級 ‧ 2015-06-03 09:03:08 檢舉
slime iT邦大師 1 級 ‧ 2015-06-03 09:37:57 檢舉

7001 是在 Client PC 發生的"登入並執行 shell 才算".

而 4624 個人印象是"授權相關的都算".

vit5015 iT邦新手 4 級 ‧ 2015-06-08 08:42:42 檢舉

感謝上面兩位前輩的幫助 現在嘗試用script去實現

我要發表回答

立即登入回答