Как подсчитать успешную аутентификацию пользователя домена (вход в систему) с помощью LogParser

В W3SVC1 журналы будут указывать на HTTP-статус запросов. Ваша аутентификация вошла в Security Журнал событий. При успешном входе в сеть регистрируется событие с кодом 540, тип 3.

Создайте простой файл SQL для этого запроса с именем query.sql:

SELECT
    TimeGenerated,
    EventID,
    EXTRACT_TOKEN(Strings,0,'|') AS User,
    EXTRACT_TOKEN(Strings,3,'|') AS Type
FROM
    Security
WHERE 
    (EventID = 540) AND (Type LIKE '3')
ORDER BY
    TimeGenerated
DESC

А затем мы можем сгенерировать DataGrid, чтобы быстро взглянуть:

LogParser.exe file:query.sql -o:DATAGRID -i:EVT

Обратите внимание, что вход в сеть также включает аутентификацию доступа к общему файлу и принтеру. Если ваш сервер IIS предоставляет доступ к принтерам или файлам за пределами IIS, вам может потребоваться другой метод сбора этих данных.

@dexter Но веб-журналы отслеживают аутентификацию. Если вы получили 200 с доменом \ пользователем, вы успешно прошли аутентификацию для этого элемента. Возможно, у вас нет прав на что-либо, но вы успешно прошли аутентификацию на веб-сервере.

Вполне вероятно, что в журналах W3SVC вы увидите успешное 200 после 401 для каждого элемента страницы (изображения, javascript и т. Д.), Так что это не совсем полезный счет, поскольку на одной странице может отображаться 10+ аутентификаций для каждый пользователь. Но если вы сузили его с помощью анализатора журнала до определенного элемента, скажем index.aspx, это сообщило бы вам, сколько успешных аутентификаций для этого файла, и вы могли бы проигнорировать остальную часть загрузки на этой странице.

Вы также можете игнорировать статус https и просто наблюдать за доменом \ пользователем в конкретном файле. Таким образом вы получите аутентификацию, которая будет отображаться как что-то еще (например, ошибка 500), когда аутентификация сработала, но что-то на странице не удалось.