[C#]通过日志查看最后一次登录的用户!

最新推荐文章于 2021-05-10 22:35:48 发布
最新推荐文章于 2021-05-10 22:35:48 发布
阅读量181 收藏
点赞数
文章标签: 操作系统 runtime
原文链接:http://www.cnblogs.com/onepc/archive/2011/10/26/2224909.html
版权

win7下的4624事件表示登录,若是登录类型2、10表示本机或远程桌面等登录。

winxp的528表示登录事件

 

win7的登录帐户如下(powershell查看)

EventID            : 4624
MachineName        : dn1935.usenet.com
Data               : {}
Index              : 7437962
Category           : (12544)
CategoryNumber     : 12544
EntryType          : SuccessAudit
Message            : 已成功登录帐户。

                     主题:

  安全 ID:        S-1-5-21-3758797738-1457090885-3022922289-500
                             帐户名:        Administrator
                         帐户域:        dn1935
                         登录 ID:        0x4af5a

                     登录类型:            2

                     新登录:
                         安全 ID:        S-1-5-21-650913034-2112300590-677931608-19234
                         帐户名:        244971
                         帐户域:        USENET
                         登录 ID:        0x2541499
                         登录 GUID:        {15A12A0B-1F84-7BC3-AFD6-9D1C11000EB9}

                     进程信息:
                         进程 ID:        0x36c
                         进程名:        C:\Windows\System32\svchost.exe

 网络信息:
                         工作站名:    DN1935
                         源网络地址:    ::1
                         源端口:        0

                     详细身份验证信息:
                         登录进程:        seclogo
                         身份验证数据包:    Negotiate
                         传递服务:    -
                         数据包名(仅限 NTLM):    -
                         密钥长度:        0

                     在创建登录会话后在被访问的计算机上生成此事件。

                     “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlog
                     on.exe 或 Services.exe)。

                     “登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

                     “新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。

                     “网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

                     “身份验证信息”字段提供关于此特定登录请求的详细信息。
                         -“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
                         -“传递服务”指明哪些直接服务参与了此登录请求。
                         - “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
                         -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。
Source             : Microsoft-Windows-Security-Auditing
ReplacementStrings : {S-1-5-21-3758797738-1457090885-3022922289-500, Administrator, dn1935, 0x4af5a...}
InstanceId         : 4624
TimeGenerated      : 2011/10/11 14:04:12
TimeWritten        : 2011/10/11 14:04:12
UserName           :
Site               :
Container          :

 

 

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Diagnostics;
using System.Text.RegularExpressions;
using System.Runtime.InteropServices;

namespace readlog
{


public partial class Form1 : Form
    {
//private EventLog rEvent;
        private int winsystem;

        [StructLayout(LayoutKind.Sequential)]
public class OSVersionInfo
        {
public int OSVersionInfoSize;
public int MajorVersion;
public int MinorVersion;
public int BuildNumber;
public int PlatformId;

            [MarshalAs(UnmanagedType.ByValTStr, SizeConst = 128)]
public String versionString;
        }

        [StructLayout(LayoutKind.Sequential)]
public struct OSVersionInfo2
        {
public int OSVersionInfoSize;
public int MajorVersion;
public int MinorVersion;
public int BuildNumber;
public int PlatformId;

            [MarshalAs(UnmanagedType.ByValTStr, SizeConst = 128)]
public String versionString;
        }

public class LibWrap
        {
            [DllImport("kernel32")]
public static extern bool GetVersionEx([In, Out] OSVersionInfo osvi);

            [DllImport("kernel32", EntryPoint = "GetVersionEx")]
public static extern bool GetVersionEx2(ref OSVersionInfo2 osvi);
        }












public Form1()
        {
            InitializeComponent();
        }

private void Form1_Load(object sender, EventArgs e)
        {

            comboBox1.Items.AddRange(new String[] { "Application", "Security", "System" });
            comboBox1.SelectedIndex = 0;
        }

private void button1_Click(object sender, EventArgs e)
        {
            OSVersionInfo osvi = new OSVersionInfo();
            osvi.OSVersionInfoSize = Marshal.SizeOf(osvi);
            LibWrap.GetVersionEx(osvi);
//MessageBox.Show( OpSysName(osvi.MajorVersion, osvi.MinorVersion, osvi.PlatformId));
            getLoginForLog(osvi.MajorVersion, osvi.MinorVersion);
//GetSystemLog();
//EventLog test = new EventLog();
//MessageBox.Show(test.Log);
        }

public void GetSystemLog()
        {
            EventLog rEvent = new EventLog();
            rEvent.Log = "Security";
//rEvent.MachineName = "dn0351";
            listBox1.Items.Clear();
int eid = 528;
foreach (EventLogEntry entry in rEvent.Entries)
            {
//listBox1.Items.Add(entry.Index);
                if (entry.EventID == eid && checkMessageLogin(entry.Message))
                {
                    listBox1.Items.Add(entry.Index+" " +entry.EventID + " " +entry.UserName + " " +entry.MachineName + " " + entry.TimeGenerated);
                }
            }
//Console.WriteLine("\tEntry: " + entry.Message);


        }

public Boolean checkMessageLogin(String Msg)
        {
            Regex check = new Regex(@"登录类型:\s*(?:2|10)",RegexOptions.IgnoreCase);
if (check.IsMatch(Msg))
            {
return true;
            }
else {
return false;
            }
        }
/*
        public void  checkwin7(String msg)
        {
            Regex check = new Regex(@"登录类型:\s*(?:2|10)", RegexOptions.IgnoreCase);
            if (check.IsMatch(msg))
            {
                Regex cReg = new Regex(@"(?s)新登录:.*?帐户名:(.*?)帐户域:(.*?)登录");
                //foreach (Match m in cReg.Matches(msg))
                //{
                    //for (int i = 1; i < m.Groups.Count; i++)
                    //{
                    //    MessageBox.Show(m.Groups[i].Value);
                    //}

                //}
                Match m = cReg.Match(msg);
                if (m.Success)
                {
                    String user = m.Groups[1].Value;
                    String domail = m.Groups[2].Value;
                    MessageBox.Show(user.Trim(), domail.Trim());
                    MessageBox.Show(domail.Trim());
                    //listBox1.Items.Add(entry.Index + " " + entry.InstanceId + " " + user+"\\"+ domail + " " + entry.MachineName + " " + entry.TimeGenerated);

                }

            }      

        }
*/

public void getWin7log()
        {
            EventLog rEvent = new EventLog();
            rEvent.Log = "Security";
//rEvent.MachineName = "dn0351";
            long wlogin = 4624;
            Regex check = new Regex(@"登录类型:\s*(?:2|10)", RegexOptions.IgnoreCase);
            Regex cReg = new Regex(@"(?s)新登录:.*?帐户名:(.*?)帐户域:(.*?)登录");
            listBox1.Items.Clear();
foreach (EventLogEntry entry in rEvent.Entries)
            {
if (entry.InstanceId == wlogin)
                {
//checkwin7(entry.Message);
//MessageBox.Show(entry.InstanceId.ToString());
                    if (check.IsMatch(entry.Message))
                    {
//checkwin7(entry.Message);
                        Match m = cReg.Match(entry.Message);
if (m.Success)
                        {
//MessageBox.Show("0");
                            String user = m.Groups[1].Value.Trim();
                            String domail = m.Groups[2].Value.Trim();
//MessageBox.Show(user.Trim(), domail.Trim());
//MessageBox.Show(domail.Trim());
                            listBox1.Items.Add(entry.Index + " " + entry.InstanceId + " " + user+"\\"+ domail + " " + entry.MachineName + " " + entry.TimeGenerated);

                        }
                    }

                }

            }

        }

public void getLoginForLog(int MajorVersion,int MinorVersion)
        {
            String str_opn = String.Format("{0}.{1}", MajorVersion, MinorVersion);
switch (str_opn)
            {
case "4.0":
break;
case "4.10":
break;
case "4.90":
break;
case "3.51":
break;
case "5.0":
//2000
                    GetSystemLog();
break;
case "5.1":
//xp
                    GetSystemLog();
break;
case "5.2":
//2003
                    GetSystemLog();
break;
case "6.1":
//w7
                    getWin7log();
break;


            }
        }





public static String OpSysName(int MajorVersion, int MinorVersion, int PlatformId)
        {
            String str_opn = String.Format("{0}.{1}", MajorVersion, MinorVersion);

switch (str_opn)
            {
case "4.0":
return win95_nt40(PlatformId);
case "4.10":
return "Windows 98";
case "4.90":
return "Windows Me";
case "3.51":
return "Windows NT 3.51";
case "5.0":
return "Windwos 2000";
case "5.1":
return "Windwos XP";
case "5.2":
return "Windows Server 2003 family";
case "6.1":
return "Windows 7";
default:
return "This windows version is not distinguish!";
            }
        }
public static String win95_nt40(int PlatformId)
        {
switch (PlatformId)
            {
case 1:
return "Windows 95";
case 2:
return "Windows NT 4.0";
default:
return "This windows version is not distinguish!";
            }
        }




/*
           16,384      0 OverwriteAsNeeded       1,471 Application
          20,480      0 OverwriteAsNeeded           0 HardwareEvents
             512      7 OverwriteOlder              0 Internet Explorer
          20,480      0 OverwriteAsNeeded           0 Key Management Service
           8,192      0 OverwriteAsNeeded           0 Media Center
          16,384      0 OverwriteAsNeeded           0 ODiag
          16,384      0 OverwriteAsNeeded          50 OSession
          16,384      0 OverwriteAsNeeded      24,319 Security
          16,384      0 OverwriteAsNeeded       4,806 System
          15,360      0 OverwriteAsNeeded         565 Windows PowerShell

*/


    }


}

 

转载于:https://www.cnblogs.com/onepc/archive/2011/10/26/2224909.html

weixin_30879833
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#--程序登录时写入登录日志
Economic_shark的博客
09-17 2846
程序登录日志分析当用户登录软件时记录每个用户登录日志信息,哪个管理员登录,记录简单的ID,姓名,详细的时间、退出的登录信息……..SQL日志登录表 脚本所需脚本(码云下载)实体类返回登录日志,返回日志编号方法登录事件的编写 调试程序后 查看SQL登录日志
C#二次开发之海康威视摄像机登录、预览、截图编程
05-09
本文将深入探讨如何使用C#进行海康威视摄像机的二次开发,涉及登录、预览和截图等功能。海康威视作为全球领先的安防产品供应商,其设备在监控领域广泛应用,因此对这些设备进行自定义开发具有很高的实用价值。 首先...
C#--工作笔记(Login登陆)
从零开始的专栏
12-25 1387
<Window x:Class="Health365IIProjectView.Login" xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation" xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml" Title="L
如何知道最后一个登陆Windows的用户
Windows PowerShell
05-24 2827
PS C:/> (get-item HKLM:/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon).GetValue(DefaultUserName)Administrator我不是非常有把握, 不过看起来应该可以, 通过读取注册表中的信息.  
C#客户端日志记录
VictorZhang
04-01 848
直接写代码: using System; using System.Text; using System.IO; namespace SendMail_Meten_ { /// /// 记录日志 /// public static class Logger { public static void record(string
C#获取目录最后访问时间的方法
09-03
`LastAccessTime`属性返回的是一个`DateTime`类型的值,表示文件或目录最后一次被访问的时间。需要注意的是,这个时间可能并不总是准确,因为它依赖于操作系统的文件系统跟踪功能,有些操作系统可能会禁用或者不精确...
C# windows服务删除过期文件每天执行一次.
09-20
在IT行业中,Windows服务是一种在后台运行的程序,它不受用户界面的影响,可以在Windows操作系统启动时自动启动,并持续运行以执行特定的任务。本项目聚焦于使用C#编程语言创建一个Windows服务,该服务的主要功能是...
C#WPF 制作的上位机界面通过MODBUS RTU和数码管显示屏通讯
03-14
在本文中,我们将深入探讨如何使用C# WPF技术制作一个上位机界面,并通过MODBUS RTU协议与数码管显示屏进行通信。MODBUS RTU是一种广泛使用的工业通信协议,适用于设备间的串行通信,而数码管显示屏则常用于显示简单...
使用C#创建Windows服务 并发布Windows 服务.docx
11-06
本文详细介绍了如何使用C#和.NET Framework 4.0创建一个Windows服务,并通过一个简单的Windows窗体应用程序实现了对服务的控制。这一过程不仅涵盖了从开发环境的搭建到服务本身的创建,还包括了通过图形界面来管理和...
c# 登陆判断用户登陆次数
03-30
登陆界面中,判断同一个用户登陆失败次数限制 通过判断用户名 实现
用户登录日志表设计
10-25
用户登录 日志表 设计
C#的LOG日志读写操作
06-02
非常简单详细的C# LOG日志读写,在主程序中已经为大家注释好了读写的接口,直接改就可以。路径也一定要改,不然你找不到log文件了就。代码编译没有问题,有问题请百度。
联为C#11——登录界面、注册表日志
qq_42832272的博客
05-10 203
登录界面 登录 用ini实现记住密码的功能 记住密码的功能 登录 加载最后一个用户 注册表日志
关于winForm的多线程。实现C#WinForm 登录日志,系统日志,操作日志
崔园清的专栏C#|Asp.net|mvc3|AutoCad
10-28 1193
public partial class Form1 : Form { private delegate void FlushClient();//代理 public Form1() { InitializeComponent(); } private void Form1_Load(object sender, EventArgs e) { FlushClient fc=new
C#输出日志文件——log4net组件
#的博客
03-19 7712
C#输出日志文件——log4net组件 前言 最近在写一个Winform项目,发现不知道怎么查看相关的输出信息来判断逻辑,经过一番搜索终于了解到这个一个非常好用的组件——log4net。 log4net简介 Log4net库是.Net下一个非常优秀的开源日志记录组件,是一个帮助程序员将日志信息输出到各种目标(控制台、文件、数据库等)的工具。 它具有:支持多数框架、可输出日志到多种目标、层级日志体系、可使用XML配置、可动态配置、模块化和可扩展化设计、灵活、高性能等特征。 ...
日志中的秘密:Windows登录类型知多少?
Vincent.woo(文子)
06-06 1378
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值