已在DC上的本機性安全原則,將稽核帳戶登入事件開啟稽核成功跟失敗。
在檢視器有看到4624.4634的登入.登出事件,但事件數量非常多一天就有10萬多筆。
很多筆資料都是再同一時間登入又登出,有看到來源網路位置是信件主機,
信件主機認證是經由AD的,不知是否因為這個緣故。
在這樣的情況下,想要看到正常帳號登入跟登出的時間該怎麼做?
主要是想做到保存帳戶登入\登出時間三十天的紀錄。
若有需要提供其他資料 再麻煩跟我說
已邀請的邦友 {{ invite_list.length }}/5
看看 Winlogon (Event ID: 7001) 會不會好一點?
有沒考慮用 logon script 作
http://community.spiceworks.com/scripts/show/70-track-login-and-logout
7001 是在 Client PC 發生的"登入並執行 shell 才算".
而 4624 個人印象是"授權相關的都算".
感謝上面兩位前輩的幫助 現在嘗試用script去實現
iThome鐵人賽
看影片追技術