Utilisateur de Connexion/Déconnexion de l'Information à l'aide de Powershell

Je veux être en mesure de contrôler à distance l'ordinateur de l'utilisateur de connexion/déconnexion des sessions et des fois, et j'ai le code suivant que j'ai reçu de stackoverflow, mais je ne peux pas comprendre comment indiquer au script pour contrôler un ordinateur à distance:

$UserProperty = @{n="User";e={(New-Object System.Security.Principal.SecurityIdentifier  
$_.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}}
$TypeProperty = @{n="Action";e={if($_.EventID -eq 7001) {"Logon"} else {"Logoff"}}}
$TimeProeprty = @{n="Time";e={$_.TimeGenerated}}

Get-EventLog System -Source Microsoft-Windows-Winlogon | select $UserProperty,$TypeProperty,$TimeProeprty

J'ai fait faire jeter dans un $Computername variable et une boucle Foreach de tresorerie comme dans la suite de l'essayer et de le faire fonctionner sur un ordinateur distant, mais il continue à vérifier le système local que je suis, pas le système à distance:

$Computername = Read-Host "Enter Computername Here"

Foreach $Computer in $Computername

    {
        $UserProperty = @{n="User";e={(New-Object System.Security.Principal.SecurityIdentifier $_.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}}
        $TypeProperty = @{n="Action";e={if($_.EventID -eq 7001) {"Logon"} else {"Logoff"}}}
        $TimeProeprty = @{n="Time";e={$_.TimeGenerated}}

        Get-EventLog System -Source Microsoft-Windows-Winlogon | select $UserProperty,$TypeProperty,$TimeProeprty
    }
  • Juste l'ajout d'un commentaire que l'instruction foreach manque la parenthèse caractères. Devrait montrer que "Foreach ($Ordinateur en $Computername)" à la place.
InformationsquelleAutor MrRatzlaff | 2012-08-01
  1. 3

    Je sais que c'est une vieille question, mais aucune réponse n'a jamais été accepté. L'un des problèmes est que le script n'affiche pas l'ordinateur de l'utilisateur était connecté. De toute façon, je l'ai corrigé (y compris la faute de frappe).

    Get-LogonHistory.ps1:

    param(
    [alias("CN")]
    $ComputerName="localhost"
)

$UserProperty = @{n="User";e={(New-Object System.Security.Principal.SecurityIdentifier $_.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}}
$TypeProperty = @{n="Action";e={if($_.EventID -eq 7001) {"Logon"} else {"Logoff"}}}
$TimeProperty = @{n="Time";e={$_.TimeGenerated}}
$MachineNameProperty = @{n="MachinenName";e={$_.MachineName}}

foreach ($computer in $ComputerName) {
    Get-EventLog System -Source Microsoft-Windows-Winlogon -ComputerName $computer | select $UserProperty,$TypeProperty,$TimeProperty,$MachineNameProperty
}

    Avec cela, il affichera l'ordinateur de l'utilisateur connecté. Plusieurs ordinateurs distants peuvent être passés dans la ligne de commande avec des virgules entre chaque (pas d'espaces).

    InformationsquelleAutor supercheetah
  2. 2

    Vous devez utiliser le Get-EventLog de la cmdlet ComputerName paramètre:

    Get-EventLog -ComputerName $Computer System -Source Microsoft-Windows-Winlogon `
    | select $UserProperty,$TypeProperty,$TimeProeprty

    Aussi, il semble que vous ayez une faute de frappe dans votre $TimeProeprty variable.

    • J'ai essayé et il crache une belle et longue erreur. Cependant, j'ai essayer d'enlever un peu de code et de voir où il se bloque et cela fonctionne très bien: Get-EventLog-ComputerName $Système Informatique, mais où il semble causer problème est la Source de Microsoft-Windows-Winlogon partie du scénario.
    • Il pourrait être une question de la source, de ne pas être référencé par les entrées du journal. Vous pouvez essayer d'exécuter Get-EventLog -ComputerName $Computer -LogName 'System' | Select-Object -ExpandProperty 'Source' -Unique | Sort-Object pour voir ce que les sources de journaux sont disponibles sur ce système. Test avec Windows XP et 7 machines, je peux voir que Microsoft-Windows-Winlogon est retourné comme une source sur 7, mais pas XP.
    • Je suis en train de tester sur les deux Win 7 et XP. Je vais essayer ce que vous suggérez. Merci
    InformationsquelleAutor BACON
  3. 1

    Vous n'êtes pas en passant le nom de l'ordinateur pour toute commande dans la boucle. Donc, c'est juste une boucle dans la même commande pour que de nombreux objets sont en $computerName Essayez de modifier la dernière ligne de ce:

     Get-EventLog System -Source Microsoft-Windows-Winlogon -ComputerName $computer | select $UserProperty,$TypeProperty,$TimeProperty

    Si cela ne fonctionne pas, assurez-vous que votre boucle foreach est en passant la droite de données:

    $computerName | Foreach-Object{Write-Host $_}

    Que doit afficher le nom de l'ordinateur de chaque machine que vous essayez de l'exécuter sur.

    Mais il semble que vous essayez de l'exécuter sur un ordinateur, afin de supprimer la boucle Foreach et juste ajouter -ComputerName $computername à la fin de la Get-Eventlog commande avant votre instruction select

    • Mec, vous a répondu rapidement. Je vais vous donner vos recommandations d'un tir réel rapide et vous permettent de connaître le résultat. Mais je dois aller prendre un peu de café en premier. Je serai de retour. Merci À Chris.
    • Bon, j'ai fait ce que vous avez suggéré, mais toujours les mêmes résultats. Je viens de lire que le Get-Eventlog applet de commande ne fait fournir un accès à distance ici: windowsitpro.com/article/windows-powershell/....
    • Rendre tout ceci un peu plus simple d'abord. Remplacer l'ensemble de votre script APRÈS l'invite de nom de l'ordinateur avec ceci: Get-EventLog-Système de la Source de Microsoft-Windows-Winlogon -ComputerName $ComputerName
    • ouais, je l'ai fait aussi et je reçois en retour le "Get-EventLog : Aucun résultat trouvé" erreur, mais si je supprime la Source de Microsoft-Windows-Winlogon il fonctionne très bien sur l'ordinateur distant. Pour une raison quelconque, il n'aime pas la Source de paramètre lors de l'exécution sur des systèmes distants.
    InformationsquelleAutor Chris N
  4. 1

    Un peu modifié et de son travail

    # Specify the location you want the report to be saved
$filelocation = "C:\report.csv"
[void][System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') 
[string]$Computer = [Microsoft.VisualBasic.Interaction]::InputBox("Enter     ComputerName", "Computer Name", "Computer Name")
[int]$DayPrompt = [Microsoft.VisualBasic.Interaction]::InputBox("Enter Number of Days to     check", "Days to Check", "15")
$Days = $DayPrompt
cls
$Result = @()
Write-Host "Gathering Event Logs, this can take awhile..."
$ELogs = Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-    $Days) -ComputerName $Computer
If ($ELogs)
{ Write-Host "Processing..."
ForEach ($Log in $ELogs)
{ If ($Log.InstanceId -eq 7001)
{ $ET = "Logon"
}
ElseIf ($Log.InstanceId -eq 7002)
{ $ET = "Logoff"
}
Else
{ Continue
}
$Result += New-Object PSObject -Property @{
Time = $Log.TimeWritten
'Event Type' = $ET
User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])
}
}
$Result | Select Time,"Event Type",User | Sort Time -Descending | Export-CSV $filelocation
Write-Host "Done look at $filelocation"
}
Else
{ Write-Host "Problem with $Computer."
Write-Host "If you see a 'Network Path not found' error, try starting the Remote Registry service on that computer."
Write-Host "Or there are no logon/logoff events (XP requires auditing be turned on)"
}
    InformationsquelleAutor DisplayName
  5. 0

    Basé sur https://gallery.technet.microsoft.com/Log-Parser-to-Identify-8aac36bd

    Get-Eventlog -LogName Security | where {$_.EventId -eq "4624"} | select-object @{Name="User"
;Expression={$_.ReplacementStrings[5]}} | sort-object User -unique

    Vous pouvez saisir d'autres informations à partir de ReplacementStrings. Vous pouvez également spécifier un ordinateur distant dans le Get-Eventlog commande.

    InformationsquelleAutor lyoung
  6. -1
    # Specify the location you want the report to be saved
$filelocation = "C:\Path\report.csv"
[void][System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') 
[string]$Computer = [Microsoft.VisualBasic.Interaction]::InputBox("Enter     ComputerName", "Computer Name", "Computer Name")
[int]$DayPrompt = [Microsoft.VisualBasic.Interaction]::InputBox("Enter Number of Days to     check", "Days to Check", "15")
$Days = $DayPrompt
cls
$Result = @()
Write-Host "Gathering Event Logs, this can take awhile..."
$ELogs = Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-    $Days) -ComputerName $Computer
If ($ELogs)
{ Write-Host "Processing..."
ForEach ($Log in $ELogs)
{ If ($Log.InstanceId -eq 7001)
{ $ET = "Logon"
}
ElseIf ($Log.InstanceId -eq 7002)
{ $ET = "Logoff"
}
Else
{ Continue
}
$Result += New-Object PSObject -Property @{
Time = $Log.TimeWritten
'Event Type' = $ET
User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])
}
}
$Result | Select Time,"Event Type",User | Sort Time -Descending | Export-CSV $filelocation -  TypeInformation
Write-Host "Done."
}
Else
{ Write-Host "Problem with $Computer."
Write-Host "If you see a 'Network Path not found' error, try starting the Remote Registry service on that computer."
Write-Host "Or there are no logon/logoff events (XP requires auditing be turned on)"
}
    InformationsquelleAutor BMOREiTGUY