Me pediram para descobrir quando um usuário fez logon no sistema na última semana. Agora, os logs de auditoria no Windows devem conter todas as informações necessárias. Acho que se eu procurar o Event ID 4624 (Logon Success) com um usuário específico do AD e o Logon Type 2 (Interactive Logon), ele deve me fornecer as informações necessárias, mas durante toda a vida não consigo descobrir como realmente filtrar o log de eventos para obter essas informações. É possível dentro do Visualizador de Eventos ou você precisa usar uma ferramenta externa para analisá-la neste nível?
Encontrei http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html que parecia fazer parte do que eu precisava. Eu o modifiquei um pouco para me dar apenas os últimos 7 dias. Abaixo está o XML que tentei.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
Só me deu os últimos 7 dias, mas o resto não funcionou.
Alguém pode me ajudar com isso?
EDITAR
Graças às sugestões de Lucky Luke, tenho feito progressos. A seguir, minha consulta atual, embora, como explicarei, não retorne nenhum resultado.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
Como mencionei, ele não estava retornando nenhum resultado, por isso tenho mexido um pouco. Posso obter os resultados corretamente até adicionar a linha LogonType. Depois disso, ele não retorna resultados. Alguma idéia de por que isso pode ser?
EDIT 2
Atualizei a linha LogonType para o seguinte:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
Isso deve capturar logons da estação de trabalho e desbloqueios da estação de trabalho, mas ainda não recebo nada. Modifico-o para procurar outros tipos de logon, como 3 ou 8, dos quais ele encontra muitos. Isso me leva a acreditar que a consulta funciona corretamente, mas, por algum motivo, não há entradas nos Logs de Eventos com o Tipo de Logon igual a 2 e isso não faz sentido para mim. É possível desativar isso?