"BOKU"のITな日常

還暦越えの文系システムエンジニアの”BOKU”は新しいことが大好きです。

PCのログから起動・ログイン時間を抽出して勤務実態を調査する方法。(GET-WinEvent)

今回は、パソコン(PC)から起動時刻やログイン時刻を収集する具体的な方法についてのお話です。

f:id:arakan_no_boku:20190221231559j:plain

 

前振り

 

ブラック企業労働争議などの記事を読むと、「PCのログを押収し、起動時刻やログイン時刻を調査した・・」という記述が目につきます。 

なるほど・・と思うのですが、でも、具体的なやり方を知っている人は意外と少なかったりします。

自分もたまに質問されるのですが、なかなか、口頭だけで説明するのは難しい。

なので。

これを見てくれたらいいよ・・って言えるように、まとめてみることにしました。
 

起動・ログインに関係のあるイベントを拾う

 

取得の対象になるのはイベントログです。

Systemログに記録されています。 

 

抽出対象にするイベントIDのリスト

 

関係のありそうなイベントIDは以下の通りです。

  • 6005 :起動
  • 6006 :シャットダウン
  • 6008 :正常ではない終了
  • 7001 :サービススタート(ログオン:Windows10高速起動時)
  • 7002 :サービスストップ(ログオフ:Windows10高速起動時)

 

意外と情報がなく、以下のサイトを参考にさせてもらいました。

pentan.net

 

Windowsのバージョンで対象とするIDは違う

 

windows7,8なら、6005と6006と6008だけで良いです。

ですが、Windows10の高速起動・終了を使った場合、そのログを書きません。

その場合は、かわりにログオン・ログオフ(7001,7002)をひろう必要があります。

実は。 

イベントログには、Sequrityのカテゴリに、以下のイベントもありますが、これは上記の取得対象に含めていません。

  • 4672 : Spcial Logon
  • 4624 : Logon

何故、これを取得対象にしないのか?というと、これは今回のような時刻を知りたいだけの用途には適さないからです。

監査ログなので情報が詳しすぎて、とても面倒くさいのですね。

でも、そういう細かい情報も欲しいという場合もあるかもしれないので、この記事の最後に、取得方法とログの例をのせておきます。

興味があればどうぞ。 

 

PowerShellで情報を取得して、CSVファイルにする

 

これをイベントビューアで見るのも良いですが。

WindowsにはPowerShellという便利なものがあるので、今回はそれを使います。 

テキストで取得しておいた方が後々便利ですし。

 

イベントIDを取得するGET-WinEventコマンド

 

Windows powershellを「管理者権限」で立ち上げます。 

EventLogから起動・終了(またはログオン・ログオフ)のイベントを拾って、日時とイベントIDとメッセージのみを、CSVファイルにはきだします。 

実行するコマンドです。  

GET-EventLogというコマンドを使う方法が紹介されている場合が多いですが、このコマンドは古いのでWindows10だと取得できないログの種類があったりしますし、アーカイブファイルを読めないという欠点があります。 

なので、GET-WinEventを使います。 

 

GET-WinEvent System | Where-Object{$_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 7002 -or $_.Id -eq 7001} | select-Object TimeCreated,Id,Message | export-CSV "C:\myWork\99_tmp\event.log" -Encoding UTF8

 

f:id:arakan_no_boku:20180414201528j:plain

上記をコピペで実行する場合は、出力するCSVの指定("C:\myWork\99_tmp\event.log")を、環境にあわせて変更してください。  

 

実行して出力されるCSVファイルのイメージサンプル

 

実行すると、以下のようなCSVファイルが出力されます。

#TYPE Selected.System.Diagnostics.Eventing.Reader.EventLogRecord
"TimeCreated","Id","Message"
"2018/01/12 12:42:52","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"
"2018/01/12 9:19:16","7002","カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知"
"2018/01/12 9:14:33","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"
"2018/01/12 9:13:26","7002","カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知"
"2018/01/12 8:16:04","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"
"2018/01/12 1:02:41","7002","カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知"
"2018/01/11 19:09:42","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"
"2018/01/11 0:33:50","7002","カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知"
"2018/01/10 19:22:06","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"
"2018/01/10 0:33:46","7002","カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知"
"2018/01/09 19:29:29","7001","カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知"

 

Windows10で、かつ、高速起動・終了を使っているので、ほとんど7001、7002ばかり拾われてます。

まあ、こんなものでしょう。 

とりあえず、起動またはログインおよび終了またはログオフの時間データは取得できました。

 

ログサイズの上限と過去ログからの情報取得について

 

残念ながらログサイズには上限があります。 

あまり古いログはとれません。

自分の環境だと直近2ケ月分くらいでした。 

最大ログサイズとか、過去ログを復活させられるかどうかなどは、コンピュータの管理>イベントビューアでシステムのプロパティで確認します。

f:id:arakan_no_boku:20180112195712j:plain

 

ここで、上記みたいに「イベントを上書きする」になってると、古いイベントは上書きして消されているので、過去ログを復旧するのは、ちょっと望み薄です。 

イベントを上書きしないでログをアーカイブするになっていれば、過去のログも確認できる可能性があります。

でも、まめに定期的に取得しておくのが、確実ではあります。

 

過去のログの取得方法について

 

さて。 

過去のログは、evtx形式のファイルに保存されます。 

場所はログのパスで確認します。

f:id:arakan_no_boku:20180112230422j:plain

 

そのファイルから過去ログを読み出す場合は、「GET-WinEvent  -path 'フルパスのアーカイブファイル名'」の様に指定します。

 

1日に複数回の起動終了もあるので要注意

 

ここまでで、イベントログから起動・ログイン時刻の情報は取得できます。

あとは、これを丹念に眺めていけばよいのですが、注意が必要です。

何故かというと。

PCなんて1日の中で何回か起動・終了することもあるからです。 

徹夜で仕事してれば、起動した日と終了した日が異なる場合も、ままありますし、どの時間が「始業時刻」で、どれが「終業時刻」なのか・・って、結構面倒な判断が必要だったりします。

そこは手作業になります。

EXCELの表とかで勤務実績表みたいな形に整形したりですね。 

できないことはないですが、手作業だと、そこそこ手間がかかります。

やっぱ、プログラムとかで、整形までスマートにやりたいな。

なんて、思ってしまいます。 

こちらの記事ではデータ整形をpythonでやってた例をのせてます。

参考までにどうぞ。

arakan-pgm-ai.hatenablog.com

あと、最後に監査イベントのログを取得する方法です。

 

監査イベントのログインを取得する方法

 

前半に追記した、監査イベントの「4672:special logon」「4624:logon」を取得するひとつの方法はこちらです。

GET-WinEvent Security | Where-Object{$_.Id -eq 4624 -or $_.Id -eq 4672} | select-Object TimeCreated,Id,Message | export-CSV "C:\myWork\99_tmp\event_sequrity.log" -Encoding UTF8

取得できるログのサンプルはこちらです。 

4672のサンプル(Windows10)

"2018/10/27 22:05:30","4672","新しいログオンに特権が割り当てられました。

サブジェクト:
セキュリティ ID: S-1-5-18
アカウント名: SYSTEM
アカウント ドメイン: NT AUTHORITY
ログオン ID: 0x3E7

特権: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"

 4624のサンプル(Windows10)

"2018/10/27 22:05:30","4624","アカウントが正常にログオンしました。

サブジェクト:
セキュリティ ID: S-1-5-18
アカウント名: DESKTOP-7L6KDGP$
アカウント ドメイン: WORKGROUP
ログオン ID: 0x3E7

ログオン情報:
ログオン タイプ: 5
制限付き管理モード: -
仮想アカウント: いいえ
昇格されたトークン: はい

偽装レベル: 偽装

新しいログオン:
セキュリティ ID: S-1-5-18
アカウント名: SYSTEM
アカウント ドメイン: NT AUTHORITY
ログオン ID: 0x3E7
リンクされたログオン ID: 0x0
ネットワーク アカウント名: -
ネットワーク アカウント ドメイン: -
ログオン GUID: {00000000-0000-0000-0000-000000000000}

プロセス情報:
プロセス ID: 0x370
プロセス名: C:\Windows\System32\services.exe

ネットワーク情報:
ワークステーション名: -
ソース ネットワーク アドレス: -
ソース ポート: -

詳細な認証情報:
ログオン プロセス: Advapi
認証パッケージ: Negotiate
移行されたサービス: -
パッケージ名 (NTLM のみ): -
キーの長さ: 0

 まあ、詳しすぎるのが一目瞭然ですね。

このログは高度サイバー攻撃などを受けていないかを監査するためにあります。

例えば、4672の場合だと。

意図していないアカウントに対して、このイベントログが出力されていた場合、MS14-068脆弱性が悪用され、攻撃者が不正に権限昇格をおこなったことが考えられる・・みたいな判断をして監査していくわけです。

まあ、普通はいりません。

自分のPCが乗っ取られてるんじゃないか・・とか、そういう緊急事態に参照するログでしょうね。

ではでは。