Windows命令行查询远程登录失败记录

已于 2023-05-19 10:17:54 修改
阅读量761 收藏 1
点赞数
文章标签: windows
于 2023-05-19 10:11:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangrongkun_/article/details/130575634
版权

打开Windows PowerShell执行命令,CMD命令行执行命令会报错;
查询的成功记录会保存到c:\success.xlsx文件
查询的失败记录会保存到c:\fail.xlsx文件

#查询远程近3天登录成功记录
$StartTime = (Get-Date).AddDays(-3)
$AllEntries = Get-WinEvent -FilterHashtable @{ LogName='Security';StartTime = $StartTime;Id=4624}
$AllEntries | Foreach {$entry = [xml]$_.ToXml();[array]$Output += New-Object PSObject -Property @{TimeCreated = $_.TimeCreated;IPAddress = $entry.SelectSingleNode("//*[@Name='IpAddress']").innerxml;TargetUserName = $entry.SelectSingleNode("//*[@Name='TargetUserName']").innerxml}}
$Output | Select TimeCreated,TargetUserName,IPAddress | findstr /v " -" > c:\success.xlsx

#查询远程近3天登录失败记录
$StartTime = (Get-Date).AddDays(-3)
$AllEntries = Get-WinEvent -FilterHashtable @{ LogName='Security';StartTime = $StartTime;Id=4625}
$AllEntries | Foreach {$entry = [xml]$_.ToXml();[array]$Output += New-Object PSObject -Property @{TimeCreated = $_.TimeCreated;IPAddress = $entry.SelectSingleNode("//*[@Name='IpAddress']").innerxml;TargetUserName = $entry.SelectSingleNode("//*[@Name='TargetUserName']").innerxml}}
$Output | Select TimeCreated,TargetUserName,IPAddress > c:\fail.xlsx

#查询活跃的链接
netstat -ano | findstr /i "ESTABLISHED"

#查询监听的端口
netstat -ano | findstr /i "LISTENING"

biubiu(づ ̄3 ̄)づ╭~
关注
Windows奇技淫巧之网络命令行
沉迷单车的追风少年
05-24 1864
写在前面:Linux老鸟会深度沉迷命令行,各种奇技淫巧心中涨,但是windows上的命令行相当好用,各种骚操作也是眼花缭乱。其中网络操作经常使用,本文做一个简单的总结。 目录 1、ipconfig:显示当前TCP/IP配置的设置值 2、ping:测试目的站是否可达及相关状态 3、arp:地址解析协议 4、traceroute:路由跟踪 5、route:操作路由表 6、netstat:显示协议统计信息 7、nbtstat:显示协议统计和当前使用NBI的TCP/IP连接
Windows查看用户登录日志
xx先森
03-01 6995
在弹出的筛选窗口中,选择“事件来源”为“Microsoft-Windows-Security-Auditing”,“事件ID”为“4624”(该事件ID代表用户登录成功),并点击“确定”。打开“事件查看器”:可以通过按下Win + R键,然后输入“eventvwr.msc”命令,或者在开始菜单中搜索“事件查看器”来打开。在“Windows日志”文件夹下,可以看到多个子文件夹,包括“安全性”、“应用程序”、“系统”等。若要筛选特定的登录日志,可以在右侧面板上方的“操作”栏中选择“筛选当前日志”选项。
Windows10远程桌面异常记录
IMJCW的博客
03-14 1306
管理员已结束会话、建立连接时发生错误、出现网络问题 打开编辑组策略 计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->远程会话环境 右侧找到“为远程桌面连接使用WDDM图形显示程序”,右键编辑为已禁用,保存 重启电脑 未启用对服务器的远程访问、远程计算机已关闭、远程计算机再网络上不可用 打开远程桌面设置 打开远程桌面 您的凭据不工作 之前用于连接到******的凭据无法工作。请输入新凭据的问题 检索凭据管理器 2. W
Windows 安全事件日记中账户登录失败问题处理
qyhua的专栏
09-24 944
解决 Windows 安全事件日记中账户登录失败问题处理
Windows事件日志快速分析
Eric.zhong
06-05 3800
文章目录前言PowerShell命令方法PowerShell常用命令1. 检查服务器最近开关机时间2. 最近登录失败的详细信息常见EventID解释 前言 我每月都要给各种不同的客户做系统巡检,其中Windows事件日志检查是比较耗时的事情。它会记录许多的信息,特别是针对系统安全方面、系统故障排除方面有重要线索。我们可以通过一些事件关键字与信息,制作各种不同的脚本以便快速筛选过滤日志。 一般来说,我们可以通过如下两种方法实现日志过滤: Powershell => Win自带的命令行工具 Log Pa
通过windows日志查看器查看系统登陆日志
gibbs_的博客
06-12 2万+
起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法 参考: http://www.cflab.net/News/1522379153901 https://blog.csdn.net/C_chuxin/article/details/84974207 https://www.akunblog.com/archives/275.html 操作方法: 打开事件查看器 事件查看器->windows日志->安全 右侧选择筛选当前日志 筛选事件ID
windows server 查看登录日志
qq_50247813的博客
06-03 7220
点击 “服务器管理器” – > “工具” – > “本地安全策略”审核 成功 和 失败记录(可以全选也可以选择需要审计的操作)点击 “windows 日志” – > “安全”4672 – 使用超级用户(如管理员)进行登录。点击 “本地策略” – > “点击审核策略”点击 “工具” – > “事件查看器”4647 – 用户启动的注销。4624 --登录成功。4625 --登录失败。4634 – 注销成功。
windows登录日志统一记录
03-25
本文将详细探讨如何通过批处理脚本实现对Windows登录日志的统一记录,特别是针对3389远程桌面端口的活动,以及如何利用任务计划程序来自动化这个过程。 首先,3389端口是Windows远程桌面服务(RDP,Remote Desktop ...
清除3389远程登录日志
09-04
这些日志记录了通过该端口进行的所有远程登录尝试,包括成功和失败的登录事件,对于系统管理员来说,有时可能需要清理这些日志以保护用户隐私或优化系统性能。 首先,我们需要了解3389登录日志存储的位置。在...
Windows 登录 记录登录客户端信息的方法
08-08
给定的部分内容展示了如何通过Windows命令行工具来记录登录信息至日志文件。具体步骤包括: 1. **关闭命令提示符窗口的回显**:`echo off`。这使得接下来执行的命令不会显示在屏幕上,只执行而不输出命令本身。 2...
远程解决windows蓝屏问题
最新发布
IT铺子
10-17 934
远程解决Windows蓝屏问题的关键在于使用合适的工具进行远程连接、收集蓝屏信息(如错误代码、转储文件)并尝试修复常见的驱动程序、引导、硬件等问题。在系统能够进入安全模式或正常启动的情况下,远程工具(如TeamViewer、RDP等)可以大大简化排查过程。如果系统无法正常启动,则需要通过命令行和电话、聊天工具指导用户操作。
查看window系统错误日志或者后台日志信息,查看window日志文件
weixin_45917610的博客
02-12 4106
查看window系统错误日志或者后台日志信息
windows系统查看远程登录IP地址
riwen_01的博客
03-05 3823
点击“筛选当前日志”,然后在输入id(id为4648),点击确定即可。方法二:通过powershell脚本收集IP地址和登录信息。2. 选择“Windows日志”-“安全”查看日志常规信息,就能看到IP地址。1. 打开“事件查看器”
Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 2万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows安全事件ID汇总
AcceptedLin的博客
05-27 1101
Windows安全事件ID汇总
Windows系统下查看电脑被远程访问历史记录
阿猫阿狗。
07-03 9774
Windows系统下查看电脑被远程访问历史记录
Windows应急响应基础
Canterlot的博客
09-04 1339
包含了windows应急响应的基础知识、操作方法和相关工具的用法
Windows 远程连接记录获取
03-10 6973
简介 远程连接时,会将远程服务器的用户名和密码保存在本地的,所有可以通过解析相关文件,解密出相关凭证 本地获取 使用以下命令就可以查看本地保存的凭证,每个文件都是对应的一个远程连接的密码 dir /a %userprofile%\AppData\Local\Microsoft\Credentials\ mimikatz使用以下命令 privilege::debug dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Crede
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值