这是一个简单的问题。我知道信息存在于某个地方。我已经用Powershell捣乱了3天并且接近了。说实话,我已经没时间了。
这是情况。人进去并在本地计算机上创建一个帐户(Windows 7)。如何找到帐户的创建时间。我理解在配置文件中查找NTUSER.DATE日期,但这不太有用。我获得了所有在csv中传播的信息,并没有简单的方法让它可读。
Get-Item -force "C:\Users\*\ntuser.dat" |
Where {((Get-Date)-$_.lastwritetime).days } |
Out-File c:\profiles.csv
我可以在安全日志中看到这些信息,我可以拉出所有4720个事件。然而,这也是不一致的,特别是如果一些流氓(像我一样)在几个月前清除了事件日志。
Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4720 } |
EXPORT-CSV C:\NewStaff.csv
但这并不能让我得到我需要的东西。我只需要用户名和帐户创建日期。我知道这不是那么简单(尽管它应该是LOL)。这是一次性的工作,我在Powershell吮吸(尽管我在过去的几天里学到了很多东西)。
无论如何,如果有人不介意扔我的骨头,我会很感激。 谢谢你的期待。
答案 0 :(得分:2)
你确实很亲密。您现在需要的只是格式化。例如:
Get-EventLog -LogName "Security" | Where-Object { $_.EventID -eq 4720 } `
| Select-Object -Property `
@{Label="LogonName";Expression={$_.ReplacementStrings[0]}}, `
@{Label="CreationTime";Expression={$_.TimeGenerated}} `
| Export-Csv C:\NewStaff.csv -NoTypeInformation