Powershellでログイン失敗ログを確認してみた

Powershell Powershell

Powershellでwindowsのログイン失敗ログを確認してみました。

広告

ログイン失敗ログを確認する

Get-EventLogコマンドを利用することで確認することが可能です。

#セキュリティログのログイン失敗ログを確認する
Get-EventLog -LogName "Security" -InstanceId 4625

ログイン失敗ログのイベントIDは 4625 なので、そのIDを指定することで失敗ログだけを抽出することが可能です。

実行結果

PS C:\> Get-EventLog -LogName "Security" -InstanceId 4625

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  667865 11 04 23:32   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  667863 11 04 23:32   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...


PS C:\>

ログイン成功のログを確認する

ログイン成功のログも確認可能です。
イベントIDの 4624 を指定します。

#セキュリティログのログイン成功ログを確認する
Get-EventLog -LogName "Security" -InstanceId 4624

実行結果

PS C:\> #セキュリティログのログイン成功ログを確認する
PS C:\> Get-EventLog -LogName "Security" -InstanceId 4624

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  668227 11 05 00:02   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオンしました。...
  668195 11 04 23:52   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオンしました。...
  668145 11 04 23:42   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオンしました。...

     ~~~中略~~~

  639676 10 01 02:35   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオンしました。...
  639670 10 01 02:35   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオンしました。...


PS C:\>

[参考] 特定期間のセキュリティログを確認する

以下のコマンドでセキュリティログ内で特定期間のログを確認することもできます。

#11月のセキュリティログのログイン失敗ログを確認する
Get-EventLog -LogName "Security" -InstanceId 4625 -After (Get-Date "2023-11-01") -Before (Get-Date "2023-11-30")

実行結果

PS C:\> #11月のセキュリティログのログイン失敗ログを確認する
PS C:\> Get-EventLog -LogName "Security" -InstanceId 4625 -After (Get-Date "2023-11-01") -Before (Get-Date "2023-11-30")

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  668245 11 05 00:05   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  668243 11 05 00:05   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  668241 11 05 00:05   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  667865 11 04 23:32   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  667863 11 04 23:32   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...


PS C:\>

[参考] セキュリティログの最新ログを確認する

以下のコマンドでセキュリティログの最新ログを確認することもできます。

#最新10件のセキュリティログを確認する
Get-EventLog -LogName "Security" -Newest 10

実行結果

PS C:\> Get-EventLog -LogName "Security" -Newest 10

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  668251 11 05 00:07   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668250 11 05 00:07   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668249 11 05 00:06   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668248 11 05 00:06   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668247 11 05 00:05   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668246 11 05 00:05   SuccessA... Microsoft-Windows...         4688 新しいプロセスが作成されました。...
  668245 11 05 00:05   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  668244 11 05 00:05   FailureA... Microsoft-Windows...         4776 コンピューターがアカウントの資格情報の...
  668243 11 05 00:05   FailureA... Microsoft-Windows...         4625 アカウントがログオンに失敗しました。...
  668242 11 05 00:05   FailureA... Microsoft-Windows...         4776 コンピューターがアカウントの資格情報の...


PS C:\>

コメント

タイトルとURLをコピーしました