Фильтр для журнала безопасности windows
Фильтр для журнала безопасности
на примере поиска людей залогиненных через rdp
*[System[(EventID=4624)] and
EventData[Data[@Name='LogonType']=10]]
EventID 4624 - это авторизация
LogonType=10 - это через RDP
по идее можно добавить имя пользователя
*[System[(EventID=4624)] and
EventData[Data[@Name='LogonType']=10] and
EventData[Data[@Name='TargetUserName']='Администратор']]
на примере поиска людей залогиненных через rdp
*[System[(EventID=4624)] and
EventData[Data[@Name='LogonType']=10]]
EventID 4624 - это авторизация
LogonType=10 - это через RDP
по идее можно добавить имя пользователя
*[System[(EventID=4624)] and
EventData[Data[@Name='LogonType']=10] and
EventData[Data[@Name='TargetUserName']='Администратор']]