Filtru de securitate pentru logon fail la un user specific

Configurare noua (How To)

Situatie

Vrem sa verificam logurile de securitate pentru un user specific si sa aflam daca are incercari de autentificare esuate. Ca sa fie mai usor de identificat si sa nu trecem prin toate logurile pentru toate evenimentele putem face un filtru doar pentru acel user.

Solutie

Pasi de urmat
  • Deschidem Event Viewer, apoi din Actions facem click pe Create custom view.
  • Dupa care vom face click pe XML si bifam edit query manully.  Odata ce am facut asta vom introduce urmatorul query, dupa care se da ok
  • Se inlocuieste numele.utilizatorului cu userul in cauza

<QueryList>
<Query Id=”0″ Path=”Security”>
<Select Path=”Security”>*[EventData[Data[@Name=’TargetUserName’]=’numele.utilizatorului’] and System[TimeCreated[timediff(@SystemTime) &lt;= 259200000]]]</Select>
</Query>
</QueryList>

La urmatoarea fereastra trecem numele filtrului, o descriere daca dorim si apoi locatia unde sa fie salvat. Vom lasa default, adica custom views.

Apoi vom primi toate evenimentele pentru acel user.

Tip solutie

Permanent

Voteaza

(22 din 48 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?