我遇到了同样的问题,并设法通过以下步骤解决了这个问题:
答:安装MyEventViewer(免费)并在此程序中打开事件列表。
不幸的是,我还没有找到如何在MyEventViewer中按描述来过滤事件(描述是登录名存储的地方),但是至少它在主表中显示了描述。
B:将此表导出到log1.txt
C:使用某些高级文本搜索程序来提取给定用户的登录时间。
我用过grep。
这是导出事件的格式:
日志类型:安全
事件类型:审核成功
时间:10.12.2012 18:33:24
赛事ID:680
用户名:SYSTEM
电脑:YYY
事件描述:登录尝试者:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登录帐户:XXX源工作站:YYY错误代码:0x0
==================================================
==================================================
首先提取用户XXX的所有登录尝试。
$ grep -B 4 "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: XXX" log1.txt > log2.txt
这将过滤用户XXX的登录尝试并将其打印到log2.txt。-B 4 grep选项是必需的,因为我们要查找的信息(登录时间)存储在包含我们要查找的模式(用户名)的行上方4行。
D:从log2.txt中提取登录时间
$ grep "Time" log2.txt > log3.txt
现在,log3.txt列出了给定用户的所有登录时间:
时间:10.12.2012 14:12:32
时间:7.12.2012 16:20:46
时间:5.12.2012 19:22:45
时间:5.12.2012 18:57:55
可能存在更简单的解决方案,但我一直找不到它,所以这必须为我解决问题。