Я должен найти последний пользователь, который войдет в систему компьютера от AD

Возможно, вы сможете сделать это, включив «аудит событий входа в учетную запись» на контроллерах домена. Затем вы можете просмотреть события «Вход в учетную запись» на контроллерах домена и выполнить поиск определенные записи для соответствия пользователям / компьютерам, которых вы ищете. Если вам нужно объединить записи с разных контроллеров домена, вы можете подписаться на события со своей административной рабочей станции.

Я считаю, что такой инструмент, как Splunk, можно использовать для мониторинг событий тоже.

Я написал систему для этого на моей старой университетской работе. Он использовал инструмент Windows 7/2008 wevtutil для извлечения дампа в формате XML журнала безопасности каждого контроллера домена через определенное время, а затем проанализировал этот XML-файл на предмет событий, которые меня интересуют.

wevtutil qe Security /r:$DC /q:"*[System[((EventID=$LogonID or EventID=$FLogonID or EventID=$LogoffID or EventID=$LockoutID) and TimeCreated[@SystemTime > '$LUFilterString'] and TimeCreated[@SystemTime < '$NowFilterString'] )]] "

Он использовал строку запроса в формате XPath, поэтому я извлекал только те события, которые меня интересовали (вход в систему, выход из системы, неудачный вход в систему, блокировка).

Затем он загрузил обработанные события в базу данных, которую я также создал. Он обновил информацию «последний вход в систему» ​​для рабочих станций, а также поле «последний вход в систему» ​​для пользователей. Понятно, что это пакетный процесс, хотя метод в реальном времени вполне возможен с большим количеством навыков .Net, чем у меня.

Это было полезно. Нам удалось отследить события входа / выхода / блокировки для кампуса из 22000 теплых тел (6K из которых находились в кампусе в любой момент времени, входя в систему). В часы пик я загружал около 250 000 записей в час.

Да, так много.

Произошедшая в системе работа генерирует непрерывный поток событий входа в систему на контроллерах домена, и мы отслеживали их все. Это была довольно загруженная база данных, и в итоге я использовал массовую вставку для обновления таблиц, когда она запускалась каждые 15 минут.

Поскольку она сбрасывала данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций, на которых был выполнен вход за последний день, и какие пользователи вошли на конкретную рабочую станцию.

000 теплых тел (6К из которых находились в кампусе в любой момент времени, входя в систему). В часы пик я загружал около 250 000 записей в час.

Да, так много.

Произошедший в системе рабочий процесс генерирует непрерывный поток событий входа в систему на контроллерах домена, и мы отслеживали их все. Это была довольно загруженная база данных, и в итоге я использовал массовую вставку для обновления таблиц, когда она запускалась каждые 15 минут.

Поскольку она сбрасывала данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций за последний день, на которые пользователь вошел, и какие пользователи вошли на конкретную рабочую станцию.

000 теплых тел (6К из которых находились в кампусе в любой момент времени, входя в систему). В часы пик я загружал около 250 000 записей в час.

Да, так много.

Произошедший в системе рабочий процесс генерирует непрерывный поток событий входа в систему на контроллерах домена, и мы отслеживали их все. Это была довольно загруженная база данных, и в итоге я использовал массовую вставку для обновления таблиц, когда она запускалась каждые 15 минут.

Поскольку она сбрасывала данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций, на которых был выполнен вход за последний день, и какие пользователи вошли на конкретную рабочую станцию.

Произошедший в системе рабочий процесс генерирует непрерывный поток событий входа в систему на контроллерах домена, и мы отслеживали их все. Это была довольно загруженная база данных, и в итоге я использовал массовую вставку для обновления таблиц, когда она запускалась каждые 15 минут.

Поскольку она сбрасывала данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций за последний день, на которые пользователь вошел, и какие пользователи вошли на конкретную рабочую станцию.

Произошедший в системе рабочий процесс генерирует непрерывный поток событий входа в систему на контроллерах домена, и мы отслеживали их все. Это была довольно загруженная база данных, и в итоге я использовал массовую вставку для обновления таблиц, когда она запускалась каждые 15 минут.

Поскольку она сбрасывала данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций, на которых был выполнен вход за последний день, и какие пользователи вошли на конкретную рабочую станцию.

Поскольку он помещал данные в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций, на которых был выполнен вход за последний день, и какие пользователи вошли на конкретную рабочую станцию.

Поскольку данные были помещены в удобную таблицу MS SQL, мы смогли предоставить некоторые довольно полезные данные нашим сотрудникам службы поддержки. Например, какая станция (или IP-адрес) вызвала блокировку для пользователя, количество рабочих станций, на которых был выполнен вход за последний день, и какие пользователи вошли на конкретную рабочую станцию.