最近部门总监的域帐号经常被锁住,总解锁也不是一个办法,需要判断是哪台设备上触发了这个锁域帐号这个事。办法有很多,我只说一个。用POWERSHELL办法。到域控制器上,运行命令:Get-WinEvent-FilterHashtable@{logname=‘security‘;id=4740}呵呵,会看到好多吧。然后你肯定想看看是谁引起的。用以下POWERSHELL命令Get-WinE
分类:
其他好文 时间:
2020-11-21 12:01:43
阅读次数:
5
Windows日志筛选因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。一、需求分析存在问题日志量巨大(每天约1G)日志管理器查询日志不便主要目标启用文件系统审核快捷查询用户的删除操作解决方案采用轮替方式归档日志(500MB)日志存放60天(可用脚本删除超过期限日志档案)使用Get-WinEvent中的FilterXPath过日志进行
论坛里面有人询问如何使用powershell脚本查询文件修改的审计日志,豆子服务器没开这个功能,不过尝试写了个类似的脚本可以查询日志,并输出对应的xml内容。基本方法是get-winevent,可以指定对应的eventid,获取列表。如果想获取这个事件具体的内容,需要根据不同事件的xml内容..
