ব্যবহারকারীর দ্বারা ফিল্টার হওয়া লগইন সময়গুলি নিশ্চিত করতে আমি কীভাবে ইভেন্ট ভিউয়ার ব্যবহার করতে পারি?

আমাকে আমার শুরুতে লগ এবং কাজের সময় শেষ করতে হবে। মাঝেমধ্যে আমি এটি করতে ভুলে গিয়েছি এবং একটি উজ্জ্বল ধারণা ছিল যে সিকিউরিটি ইভেন্টের লগটি পরীক্ষা করা আমাকে আমার সময়গুলি পূর্বঘোষিতভাবে নির্ধারণ করতে দেয়।

দুর্ভাগ্যক্রমে, লগগুলি আমি যা ভাবি তার থেকে অনেক বড় এবং ইভেন্ট ভিউয়ারে প্রদর্শন করতে এমনকি কিছুটা সময় নেয়। এছাড়াও, আমি তারিখ এবং ইউজারিড দ্বারা লগগুলি ফিল্টার করার চেষ্টা করেছি কিন্তু এখনও পর্যন্ত এটির কোনও ফলাফল পাওয়া যায় নি।

আমার ধারণাটি বাস্তবসম্মত বলে ধরে নিচ্ছেন, আমার প্রয়োজনীয় তথ্য পুনরুদ্ধার করার জন্য আমার কী করা উচিত পদক্ষেপের মাধ্যমে কেউ কি পারে?

হালনাগাদ:

আমি @ সুরফাসব এর নির্দেশাবলী অনুসরণ করেছি এবং সেখানে কেবলমাত্র লগইনগুলি দেখতে পাচ্ছি এমন পয়েন্টটি পেয়েছি, তবে এর মধ্যে কয়েকটি সিস্টেম-স্তরের (অর্থাৎ মানবেতর) লগইন। আমি কেবলমাত্র আমার 'শারীরিক' লগিনগুলি দেখতে চাই (সপ্তাহের দিনগুলিতে কেবল এই জাতীয় দুটি বা তিনটি ইভেন্ট থাকবে) এবং অন্যান্য সমস্ত সামগ্রী নয়।

আমি মাঠের মধ্যে আমার উইন্ডোজ ব্যবহারকারীর নাম নির্বাণ চেষ্টা করেছি উভয় ব্যবহার নিচে দেখানো domain\usernameএবং মাত্র usernameকিন্তু এই মাত্র সবকিছু ফিল্টার করে। আপনি সাহায্য করতে পারেন?

ডিফল্ট কনফিগারেশন এটিকে বরং অগোছালো করে তোলে। এটি কারণ উইন্ডোজ আপনাকে যে কোনও সময় নেটওয়ার্ক কম্পিউটারে লগইন করতে হয় তাও ট্র্যাক করে। এটি লগইন সেশন তৈরি করে এমন সময় আপনার কম্পিউটার অ্যাকাউন্টটি, ব্যবহারকারীর অ্যাকাউন্ট নয়, ট্র্যাক করে।

আপনার অডিট অ্যাকাউন্ট লগন বিকল্পটি ব্যবহার করা উচিত , নিরীক্ষার লগন বিকল্পটি নয়।

আপনি যে ইভেন্টগুলির সন্ধান করছেন তাতে আপনার অ্যাকাউন্টের সম্পূর্ণ যোগ্যতাযুক্ত ডোমেন নাম থাকবে। উদাহরণস্বরূপ, আপনি যদি কোনও ডোমেনে না থাকেন তবে আপনি যে সন্ধানের সন্ধান করছেন তা হ'ল কম্পিউটার_নাম / অ্যাকাউন্ট_নাম।

সম্পাদন করা

আরেকটি ধারণা হ'ল লগইন এবং লগঅফ স্ক্রিপ্টগুলি তৈরি করা। আপনার উইন্ডোজ 7 এর সংস্করণটির উপর নির্ভর করে আপনি gpedit.mscগ্রুপ পলিসি কনসোল আনতে ব্যবহার করতে পারেন ।

তারপরে আপনার কেবল একটি ব্যাচফাইলের দরকার হবে যার কমান্ড রয়েছে logevent "My login/logoff event" -e 666। এই ইভেন্টটি অ্যাপ্লিকেশন লগে প্রদর্শিত হবে

সম্পাদন করা

আপনি কোনও ডোমেনে না থাকলে এটি আরও সহজ হবে। আপনি যদি স্থানীয় সুরক্ষা / স্থানীয় নীতি / সুরক্ষা বিকল্পের অধীনে যান তবে "ফোর্স অডিট ..." বিকল্পটি সন্ধান করুন। আমি এর নাম ভুলে গেছি। তবে এটি অক্ষম করুন। এটি সুরক্ষা লগগুলিকে কম ভার্বোস করে তুলবে, যেহেতু কোনও ব্যবহারকারী কনসোলে লগ ইন করে, কিছু ক্ষেত্রে একই ইভেন্ট আইডিটি ভাগ করে। কিছু ইভেন্ট আইডি আপনি সন্ধান করতে চান:

• ইভেন্ট 4647 - এটি যখন আপনি লগঅফ, পুনঃসূচনা, শাটডাউন বোতামটি চাপান। উইন্ডোজ আপডেট আপনার কম্পিউটার পুনরায় চালু করতেও কখনও কখনও এই ইভেন্টটি বন্ধ করে দেয় :(
• ইভেন্ট 4648 - এটি এমন হয় যখন কোনও প্রক্রিয়া (যার মধ্যে লগইন স্ক্রিন অন্তর্ভুক্ত) লগইন করার জন্য টোকেন বলার পরিবর্তে আপনার স্পষ্ট শংসাপত্রগুলি ব্যবহার করে। এর মধ্যে রুনাস কমান্ড এবং অনেক সময়, ব্যাকআপ প্রোগ্রাম অন্তর্ভুক্ত রয়েছে।
• ইভেন্ট 4800 - আপনার ওয়ার্কস্টেশনটি লক হয়ে গেলে WIN + L টিপানোর মতো
• ইভেন্ট 4801 - যখন আপনার ওয়ার্কস্টেশনটি আনলক করা আছে

সাধারণত, আপনি ইভেন্টগুলি 4647 এবং 4648 ব্যবহার করে পেতে পারেন Unfortunately দুর্ভাগ্যক্রমে একটি নিশ্চিত অগ্নি পদ্ধতি নেই যেহেতু আপনি যখন কম্পিউটারে লগইন এবং লগঅফ করেন তখন এমন এক হাজার জিনিস ঘটে যা ঘটে।

তার জন্য এটি মূল্যবান, কর্মক্ষেত্রে, আমরা আগুনের জন্য লগইন স্ক্রিপ্ট এবং লগ অফে সন্ধান করি, দুটি প্রোগ্রাম রয়েছে পাশাপাশি একটি সিঙ্ক ইভেন্ট রয়েছে যা আমরা নিশ্চিত আগুনের ঘটনা হিসাবে সন্ধান করি।

সহজ সমাধান:

1. ইভেন্ট বা ইভেন্টগুলি খুলুন যার জন্য আপনি একটি কাস্টম ভিউ তৈরি করতে চান।
2. উইন্ডোটি এমন কোনও স্থানে সরিয়ে ফেলুন যা দৃশ্যমান হবে (পর্দার একপাশে, দ্বিতীয় মনিটর করুন বা মুদ্রণ করুন)
3. নতুন দৃশ্য তৈরি করুন এবং খোলা ইভেন্ট প্যারামিটারগুলি ব্যবহার করে সংজ্ঞা দিন (উদা: ব্যবহারকারী, কীওয়ার্ডস, কম্পিউটার ইত্যাদি) এই ক্ষেত্রে, ব্যবহারকারী এন / এ ছিল তাই আমি কেবল কম্পিউটার এবং ইভেন্ট আইডি ব্যবহার করেছি (4648, 4624 নয়)
4. প্রয়োজনীয় হিসাবে পরামিতি পরিবর্তন করার পরে, সংরক্ষণ করুন।

আপনার লগ করতে ইচ্ছুক যে কোনও ইভেন্ট বা ইভেন্টের সেট করার জন্য এই পদ্ধতিটি কার্যকর। এটির জন্য জটিল কাজ বা তৃতীয় পক্ষের সফ্টওয়্যার প্রয়োজন হয় না।

আমার একই সমস্যা হয়েছে এবং এই পদক্ষেপগুলি ব্যবহার করে এটি সমাধান করতে সক্ষম হয়েছি:

উত্তর: মাইইভেন্টভিউয়ার (ফ্রিওয়্যার) ইনস্টল করুন এবং এই প্রোগ্রামের ইভেন্টগুলির তালিকা খুলুন।

দুর্ভাগ্যক্রমে, আমি মাইভেন্টভিউয়ারে কীভাবে বর্ণনাগুলিতে ইভেন্টগুলি ফিল্টার করব (এবং বিবরণটি লগইন নামটি কোথায় সঞ্চিত আছে) তা খুঁজে পাইনি, তবে কমপক্ষে তবে এটি বিবরণটি মূল টেবিলটিতে প্রদর্শন করে।

বি: এই টেবিলটি log1.txt এ রফতানি করুন

সি: প্রদত্ত ব্যবহারকারীর জন্য লগইন সময়গুলি বের করতে কিছু উন্নত পাঠ্য অনুসন্ধান প্রোগ্রাম ব্যবহার করুন।

আমি গ্রেপ ব্যবহার করেছি

এটি রফতানি হওয়া ইভেন্টগুলির ফর্ম্যাট:

লগ প্রকার: সুরক্ষা

ইভেন্টের ধরণ: নিরীক্ষণ সাফল্য

সময়: 10.12.2012 18:33:24 |

ইভেন্ট আইডি: 680

ব্যবহারকারীর নাম: SYSTEM

কম্পিউটার: ওয়াইওয়াই

ইভেন্টের বিবরণ: লগনের প্রচেষ্টা: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 লগন অ্যাকাউন্ট: XXX উত্স ওয়ার্কস্টেশন: YYY ত্রুটি কোড: 0x0

==================================================

==================================================

প্রথমে XXX এর দ্বারা সমস্ত লগনের প্রচেষ্টাগুলি বের করুন।

$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt

এটি ব্যবহারকারী XXX এর লগন প্রয়াস ফিল্টার করবে এবং লগ 2.txt এ এটি মুদ্রণ করবে। -বি 4 গ্রেপ বিকল্পের প্রয়োজন কারণ আমরা যে তথ্যটি (লগইন সময়) সন্ধান করছি তা লাইনের উপরে 4 লাইন সঞ্চিত রয়েছে যাতে আমরা যে প্যাটার্নটি খুঁজছি (ইউজারনেম) রয়েছে।

ডি: লগ 2.txt থেকে লগইন বারগুলি বের করুন

$ grep "Time" log2.txt > log3.txt

এখন log3.txt প্রদত্ত ব্যবহারকারীর জন্য সমস্ত লগইন বারের তালিকা করে:

সময়: 10.12.2012 14:12:32

সময়: 7.12.2012 16:20:46 |

সময়: 5.12.2012 19:22:45

সময়: 5.12.2012 18:57:55

সহজ সমাধান সম্ভবত বিদ্যমান কিন্তু আমি এটি খুঁজে পেতে অক্ষম, সুতরাং এটি আমার জন্য কৌশলটি করতে হয়েছিল।

এক্সএমএল ফিল্টার ট্যাবটি ব্যবহার করে দেখুন এবং নিম্নলিখিতগুলি নির্দিষ্ট করুন:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4672] 
     and EventData[Data[@Name='SubjectUserName'] = 'your_username']]
    </Select>
  </Query>
</QueryList>