Event Log - Čtení loginů

Prohlížeč událostí je součást operačního systému Windows od doby NT, která umožňuje správcům a uživatelům prohlížet protokoly událostí, obvykle přípony souborů .evt a .evtx, na místním nebo vzdáleném počítači.

Grafická konzole : eventvwr.msc
Powershell commandline příkazy: Get-Command | Select-String EventLog
Powershell commandline příkazy pro uložené soubory .evt a .evtx: Get-Command | Select-String WinEvent

Získání informací o přihlášeních

Úspěšná přihlášení

Get-EventLog -LogName Security | Where { $_.InstanceId -eq 4624 -or 4648 } | Select TimeGenerated,EventID,EntryType,ReplacementStrings

Přihlášení určitého konta

PS:

Get-EventLog -LogName Security | Where { $_.ReplacementStrings -like 'LOCALSERVICE' } | Select TimeGenerated,EventID,EntryType,ReplacementStrings

XML query:

<QueryList>
 <Query Id="0" Path="Security">
  <Select Path="Security">
  *[
     EventData[Data[@Name='TargetUserName']='curameda']
     and
     EventData[Data[@Name='LogonType']='3']
   ]
  </Select>
 </Query>
</QueryList>

Neúspěšná přihlášení

Get-EventLog -LogName Security | Where { $_.InstanceId -eq 4625 } | Select TimeGenerated,EventID,EntryType,ReplacementStrings

💡 Když přidám za Select ještě Message, dozvím se mnohem detailnější informace.

Event Log - Čtení loginů

Event Log - Přehled ID událostí (Event ID) a SID

Event Log - Čtení loginů

Získání informací o přihlášeních

Úspěšná přihlášení

Přihlášení určitého konta

Neúspěšná přihlášení