В 2008 сервере источник Microsoft windows securiry auditing, ID=4624 успешный logon и ID=4634 logoff.
По полю LogonType можно определить был ли выполнен вход локально (2) или через сеть (3). 5 - logon сервисов, 9 - logon в результате выполнения runas, 10 - через remote desktop.
ID=4625 - неудачный logon, а также блокировка учетной записи (lockout) в результате неудачного logon. Какое событие именно произошло определяется по Task Category.
Опубликовано пользователем Anonymous (не проверено)
Блокировка аккаунта в server 2008 фиксируется не только событием 4625, но и 4740. Разница между условиями, при которых генерируется то или иное событие не ясна.
События удобно обрабатывать при помощи powershell команды Get-EventLog (работает только с классическими журналами событий, для новых используйте Get-WinEvent). Командлет возвращает события в виде объектов которые легко отфильтровать по нужным свойствам. Наиболее употребительные eventID и ReplacementStrings. Именно в последнем массиве строк находится информация об учетной записи (а вот свойство UserName имени пользователя для многих событий не содержит:).
Пример, выборка событий входа в систему для всех учетных записей начинающихся на admin:
Неудачные logon также
Опубликовано пользователем manager
Неудачные logon в XP и 2003 сервере также фиксируются.
ID=529 - неверные имя/пароль
ID=531 - учетная запись disable
ID=532 - учетная запись expired
ID=535 - истек пароль
ID=539 - учетная запись locked
В 2008 сервере источник
Опубликовано пользователем manager
В 2008 сервере источник Microsoft windows securiry auditing, ID=4624 успешный logon и ID=4634 logoff.
По полю LogonType можно определить был ли выполнен вход локально (2) или через сеть (3). 5 - logon сервисов, 9 - logon в результате выполнения runas, 10 - через remote desktop.
ID=4625 - неудачный logon, а
Опубликовано пользователем manager
ID=4625 - неудачный logon, а также блокировка учетной записи (lockout) в результате неудачного logon. Какое событие именно произошло определяется по Task Category.
Блокировка аккаунта в server
Опубликовано пользователем Anonymous (не проверено)
Блокировка аккаунта в server 2008 фиксируется не только событием 4625, но и 4740. Разница между условиями, при которых генерируется то или иное событие не ясна.
События удобно обрабатывать
Опубликовано пользователем manager
События удобно обрабатывать при помощи powershell команды Get-EventLog (работает только с классическими журналами событий, для новых используйте Get-WinEvent). Командлет возвращает события в виде объектов которые легко отфильтровать по нужным свойствам. Наиболее употребительные eventID и ReplacementStrings. Именно в последнем массиве строк находится информация об учетной записи (а вот свойство UserName имени пользователя для многих событий не содержит:).
Пример, выборка событий входа в систему для всех учетных записей начинающихся на admin:
Get-EventLog -logname security | where {($_.eventid -eq 4624) -and ($_.replacementstrings[5] -like 'admin*')}