ব্যবহারকারী এবং লগনের ধরণের দ্বারা সুরক্ষা লগগুলি ফিল্টার করা

গত সপ্তাহে কোনও ব্যবহারকারী কখন সিস্টেমে লগইন করেছেন আমাকে তা জানতে জিজ্ঞাসা করা হয়েছে। উইন্ডোজে এখন অডিট লগগুলিতে আমার প্রয়োজনীয় সমস্ত তথ্য থাকা উচিত। আমি মনে করি যদি আমি নির্দিষ্ট এডি ব্যবহারকারী এবং লগন প্রকার 2 (ইন্টারেক্টিভ লগন) এর সাথে ইভেন্ট আইডি 4624 (লগন সাফল্য) অনুসন্ধান করি তবে এটি আমার প্রয়োজনীয় তথ্য দেবে, তবে আমার জীবনের জন্য আমি কীভাবে ফিল্টার করব তা নির্ধারণ করতে পারি না ইভেন্ট লগ এই তথ্য পেতে। ইভেন্ট ভিউয়ারের অভ্যন্তরে কি এটি সম্ভব বা এটিকে এ স্তরে পার্স করার জন্য আপনার কোনও বাহ্যিক সরঞ্জাম ব্যবহার করা দরকার?

আমি http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html খুঁজে পেয়েছি যা আমার প্রয়োজনের অংশ বলে মনে হয়েছিল। আমি আমাকে গত 7 দিনের মূল্য দিতে কেবল সামান্য পরিবর্তন করেছি। নীচে আমি এক্সএমএল চেষ্টা করেছি।

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

এটি আমাকে সর্বশেষ 7 দিন দিয়েছে, তবে এর বাকি অংশগুলি কার্যকর হয়নি।

কেউ আমাকে এই সাহায্য করতে পারেন?

সম্পাদনা

লাকি লুকের পরামর্শের জন্য আমি অগ্রগতি করছি। নীচে আমার বর্তমান ক্যোয়ারীটি রয়েছে, যদিও আমি ব্যাখ্যা করব এটি কোনও ফল দেয় না।

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

যেমনটি আমি উল্লেখ করেছি, এটি কোনও ফলাফল ফিরিয়ে দিচ্ছে না তাই আমি এটির সাথে কিছুটা ঝামেলা করছি। আমি লগনটাইপ লাইনে যোগ না করা পর্যন্ত সঠিকভাবে ফলাফলগুলি পেতে এটি পেতে পারি। এর পরে, এটি কোনও ফলাফল দেয় না। কোন ধারণা কেন হতে পারে?

সম্পাদনা 2

আমি লগনটাইপ লাইনটি নিম্নলিখিতটিতে আপডেট করেছি:

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

এটিতে ওয়ার্কস্টেশন লগনগুলি পাশাপাশি ওয়ার্কস্টেশন আনলকগুলি ক্যাপচার করা উচিত, তবে আমি এখনও কিছুই পাই না। তারপরে আমি 3 বা 8 এর মতো অন্যান্য লগন প্রকারগুলি অনুসন্ধান করতে এটি সংশোধন করি যা এটি প্রচুর পরিমাণে খুঁজে পায়। এটি আমাকে বিশ্বাস করতে পরিচালিত করে যে ক্যোয়ারীটি সঠিকভাবে কাজ করে তবে কোনও কারণে লগন টাইপের সমান 2 এর সাথে ইভেন্ট লগগুলিতে কোনও এন্ট্রি নেই এবং এটি আমার কাছে কোনও ধারণা রাখে না। এটি বন্ধ করা সম্ভব?

— Trido
সূত্র

দেখে মনে হচ্ছে আপনার কোয়েরিটি কাজ করছে যদি আপনি অন্যান্য লগনের ধরণের ফলাফল পেয়ে থাকেন। এটি সম্ভবত আপনার অন্যান্য লগনের ধরণগুলি দেখতে হবে, বিশেষত লগনে টাইপ ১১ যা ভিস্টায় এবং পরবর্তী সময়ে লগনের ধরণের পরিবর্তে প্রায়শই ব্যবহৃত হয়। আপনি এখানে সমস্ত লগনের প্রকার দেখতে পাচ্ছেন: myeventlog.com/search/show/799 । আমি বাজি ধরছি আপনার লগনগুলি 11 প্রকারের me

— ভাগ্যবান লুক

মজার বিষয় হল, আমি পাই না শুধুমাত্র 3 টি ফলাফল যা আমি চিহ্নিত করেছি। কিছু কারণে 2, 7 বা 11 নেই যা আমি দেখতে আশা করব।

— ট্রিডো

সমস্ত লগন অডিট হচ্ছে কিনা তা নিশ্চিত করতে আপনি স্থানীয় সুরক্ষা নীতিতে (বা ডোমেন নীতিটি কোনও ডোমেনের অংশ হলে) আপনার নিরীক্ষণ সেটিংস যাচাই করেছেন? তোমার আরো তথ্য জানার থাকলে আমাকে বলো.

— লাকি লুক

এটা আসলে সমস্যা ছিল। আমি গ্রুপ পলিসিতে গিয়েছিলাম এবং এটি বন্ধ করে দেওয়া হয়েছিল।

— ত্রিডো

মজাদার. আপনি কোন সঠিক সেটিংসটি চালু করেছেন? কিছুটা আশ্চর্যের বিষয় হ'ল আপনি অন্যান্য লগনের ইভেন্টগুলি দেখছিলেন, তবুও কনসোল লগইনগুলি নয়। আমি এই ছাপে ছিলাম যে তারা সবাই একই সেটিং দিয়ে কনফিগার করা হয়েছে।

— লাকি লুক

উত্তর:

আপনি সঠিক পথে রয়েছেন - আপনার ক্যোয়ারীর একটি ভুলের মধ্যে 'লগন টাইপ' এর স্থান হ'ল এটি কেবল 'লগনটাইপ' হওয়া উচিত।

আমি নীচে একটি কোয়েরি পেস্ট করেছি যে আমি স্রেফ যাচাই করা কাজ করেছি। এটি কিছুটা সরলীকৃত তবে আপনি ধারণাটি পাবেন। এটি আপনাকে 'জন.ডোই' ব্যবহারকারী থেকে লগন টাইপ 2 সহ সমস্ত 4624 ইভেন্ট দেখায়।

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='2']
        and
        EventData[Data[@Name='TargetUserName']='john.doe']
        and
        System[(EventID='4624')]
      ] 
    </Select>
  </Query>
</QueryList>

ইভেন্ট ভিউয়ারে আপনি এক্সএমএল ক্যোয়ারী সম্পর্কে আরও জানতে পারেন: http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xML-filtering-in-the-windows-event- ভিউয়ার.এএসপিএক্স ।

আপনি কমান্ড লাইন থেকে ওয়েভটিটিল.এক্সে: ইভেন্টগুলিকে জিজ্ঞাসা করতে পারেন: http://technet.microsoft.com/en-us/magazine/dd310329.aspx ।

— দফ
সূত্র

হুঁ, এটা অদ্ভুত। আমি যখন এটি চালিয়েছি, আমি 0 টি ফলাফল ফিরে পেয়েছি। এমনকি যখন আমি কেবল লগনের ধরণের কাছে কোয়েরিটি সহজ করি। কেন এটি কাজ করছে না তা আমি সত্যিই বুঝতে পারি না।

— ত্রিডো

আমি আমার বর্তমান প্রশ্ন এবং ইস্যু দিয়ে আমার প্রশ্ন আপডেট করেছি।

— ট্রিডো

আরডিপি এর মাধ্যমে কে আমার সার্ভারের সাথে সংযুক্ত হয়েছেন তা খুঁজে বের করার জন্য আমার ঠিক এটিই প্রয়োজন ছিল। আমাকে কেবল লগনটাইপকে '10' এ পরিবর্তন করতে হয়েছিল (এবং ব্যবহারকারীর নাম সম্পর্কে বিটটি সরিয়ে ফেলতে হবে)।

— চার্লস বুর্গ

আমি এই প্রশ্নটি খুঁজে পেয়েছি এবং কার্যকরী সমাধান পেতে, গ্রহণযোগ্য উত্তর এবং প্রশ্নের আপডেটগুলি থেকে সামগ্রিকভাবে সামগ্রীর বিশ্লেষণ করতে কিছুটা কাজ করতে হয়েছিল। আমি অনুভব করেছি যে আমি ভবিষ্যতের রেফারেন্সের জন্য এখানে একটি সম্পূর্ণ, কর্মরত ক্যোয়ারী সিনট্যাক্স পোস্ট করব:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[System[(EventID=4624)
    and
    TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]
    and
    EventData[Data[@Name='TargetUserName'] and (Data='john.doe')]
    and
    EventData[Data[@Name='LogonType'] and (Data='10')]]
    </Select>
  </Query>
</QueryList>

উপরের ক্যোয়ারীটি নিম্নলিখিত পরামিতিগুলি অনুসারে ইভেন্টগুলি সঙ্কুচিত করার জন্য কাজ করা উচিত:

সুরক্ষা লগের ইভেন্টগুলি।
ইভেন্ট আইডি 6424 সহ
গত 30 দিনের মধ্যে ঘটছে।
John.doe ব্যবহারকারীর সাথে যুক্ত।
লগনটাইপ 10 সহ।

উপরের কোডটিতে পরিবর্তন করে আপনি ফিল্টারটিতে লগনটাইপগুলি পরিবর্তন করতে পারেন (Data='10')। উদাহরণস্বরূপ, আপনি করতে চান (Data='2')বা করতে পারেন (Data='10' or Data='2')।

— Iszi
সূত্র