En Windows, puede realizar un seguimiento de los eventos de inicio de sesión y cierre de sesión del usuario mediante el registro de seguridad. En este artículo, le mostraremos cómo obtener el historial de inicio de sesión / cierre de sesión del usuario de los registros de eventos en la computadora local usando un simple script de PowerShell.
Para que los eventos de inicio de sesión / cierre de sesión del usuario se muestren en el registro de seguridad, debe habilitar la auditoría de los eventos de inicio de sesión mediante las políticas de grupo.
Puede habilitar la auditoría de inicio de sesión en todos los equipos unidos a un dominio mediante un GPO de dominio.
- Ejecute la Consola de administración de políticas de grupo en la cuenta de administrador de dominio (gpmc.msc);
- Haga clic derecho en Política de dominio predeterminada y seleccione Editar;
- Vaya a la siguiente sección de GPO: Configuración del equipo> Políticas> Configuración de Windows> Configuración avanzada de políticas de auditoría> Políticas de auditoría> Inicio / Cierre de sesión;
- Habilite las siguientes opciones de GPO: Cierre de sesión de auditoría, Auditoría de inicio de sesión, Auditar otros eventos de inicio / cierre de sesión. Para ello, en cada política, seleccione las opciones Configure los siguientes eventos de auditoría > Éxito;
- Guarde el GPO y espere hasta que la nueva configuración de la política se aplique a los equipos del dominio (puede aplicar la política en un cliente inmediatamente usando el comando gpupdate).
Ahora, cuando un usuario inicia sesión de forma local o remota en una computadora, un evento con EventID 4624 aparece en Registros de Windows> Registro de eventos de seguridad.
Puede filtrar manualmente todos los eventos de inicio de sesión con el código especificado en el Visor de eventos. Ejecutar el Gestión informática consola. Vaya a Herramientas del sistema> Visor de eventos> Windows> Registros> Seguridad. Haga clic derecho en esta sección y seleccione Filtrar registro actual. En la ventana que se abre, especifique el Id. De evento 4624 y haga clic en Aceptar.
Como resultado, solo los eventos de inicio de sesión del usuario se mostrarán en el registro de eventos. Abra cualquier Éxito de la auditoría evento. La descripción del evento dice "Se inició sesión con éxito en una cuenta”. El nombre del usuario que inició sesión se especifica en el siguiente campo de mensaje:
Nuevo inicio de sesión:
Identificación de seguridad: CORPjsmith
Nombre de cuenta: jsmith
Si el usuario ha iniciado sesión desde una computadora remota, el nombre (o IP) de la computadora se especificará en: Dirección de red de origen: 192.168.1.70
Intentemos usar PowerShell para seleccionar todos los eventos de inicio y cierre de sesión de usuario. Para seleccionar eventos con EventID 4634 y 4624, usamos el Get-WinEvent cmdlet. El siguiente script de PowerShell debe ejecutarse con privilegios elevados.
$ Resultados = @ ()
$ logs = Get-WinEvent -LogName Security | Where-Object {$ _. ID -eq 4634 -o $ _. ID -eq 4624}
ForEach ($ log in $ logs) {
si ($ log.Id -eq 4634)
{
$ type = "SessionStop"
$ username = $ log.Properties[1].Valor
}
Demás {
$ type = "SessionStart"
$ username = $ log.Properties[5].Valor
}
if ($ nombre de usuario -ne “”) {
$ Resultados + = Objeto nuevo PSObject -Property @ {“Time” = $ log.TimeCreated; "Evento" = $ tipo; "Usuario" = $ nombre de usuario};
}
}
$ Resultados
Después de ejecutar este script, obtendrá una lista de todos los eventos de inicio / cierre de sesión de usuario en esta computadora. Si desea seleccionar todos los eventos para una cuenta de usuario específica, agregue la siguiente variable en la parte superior del script:
$ userlog = "jsmith"
Y reemplace la línea:
if ($ nombre de usuario -ne “”) {
a:
if ($ username -eq $ userlog) {
Especifique el nombre de usuario (no distingue entre mayúsculas y minúsculas) para el que desea recibir el informe de actividad del usuario en una computadora específica.
Para su comodidad, puede mostrar los resultados en una tabla gráfica utilizando Out-GridView. Simplemente reemplace la última línea con:
$ Resultados | Out-GridView.
Recomendado para ti
- TAZAS DE CERÁMICA DE ALTA CALIDAD para INFORMÁTICO! Nuestras tazas son resistentes tanto al microondas como al lavavajillas. Para que la taza perdure como un recuerdo original para siempre! Color blanco, 11 oz / 330 ml.
- REGALO IDEAL: ¿Buscas un regalo de cumpleaños? ¿Un aniversario tal vez? ¿Para Navidad? Sea cual sea el momento, la taza será un regalo bien recibido ya que no solo es bonito si no que estará presente en el día a día de tu INFORMÁTICO favorito, recordándole cuanto le aprecias.
- IMPRESIÓN DE CALIDAD: Utilizamos solo materiales de calidad, para que la impresión tenga el mejor acabado posible, y revisamos cada producto de manera individual para asegurarnos de que el resultado sea el mejor.
- REGALO MULTIUSOS: ¿Quieres regalar un recipiente para café? ¿Un portalápices? ¿Un accesorio de decoración? La taza puede hacer todas esas funciones y muchas más! La súper INFORMÁTICO tendrá que elegir cuál es la mejor manera de utilizarla, porque la taza puede ser un producto muy útil en el día a día.
- PROTEGIDO SIN PLÁSTICOS: Hemos diseñado nuestro embalaje teniendo muy presente que ha de ser bonito y resistente, pero también respetuoso con el medio ambiente.