- 首先开启对登陆事件的记录(服务器版的Windows默认是开的):
"Admin Tools" - "Local Security Settings" - then in MMC Uunder "Local Policies", "Audit Policy" then on the right "Audit account logon events" - 然后去"事件查看器" - "Windows 日志" - "安全"里面筛选任务类别为“登录"的,导出为txt
- 将此txt上传到linux……用csplit切开:
csplit -k log.txt 49 {1000000}
这里不明白为什么明明是每48行一段的,参数需要写49才正确 - 然后找出登录的:
find ./ -name "xx*" | xargs -n50 grep 'winlogon.exe' > file
"xx"是csplit切分的默认前缀 - 稍微处理一下列表,得到包含文件名为其中一整行的新文件:
tr -s ":" "\n" <file >file.txt - 写个脚本用于把这些日志挪别处去:
cat file.txt | while read line
do
mv $line {path}
done - 然后继续从这些日志中删掉自己登陆的,先找出来:
find ./ -name "xx*" | xargs -n50 grep '{常用ip}' > file
由于之前没有过滤登录类型,所以记得首先排除127.0.0.1 - 再把上述脚本改改,把自己登陆的log删掉
- 然后看看剩下的,黑我的人是从哪里登录用了什么用户名之类……
其他额外获得的知识:
- Windows用户登录的类型代码
- grep与正则,如需要grep <tab>:
grep $'tab'
