류짱:Beyond MySelf

Windows Server 2008 서버에서 파워셀을 이용한 특정사용자의 로그온 실패 이벤트를 쿼리하는 방법입니다.

관리자 권한으로 명령프롬프트를 실행 후 powershell일 입력 하거나 작업 관리자에서 powershell을 실행 합니다.

특정사용자의 로그온 실패 이벤트를 쿼리 하기 아래와 같은 명령어를 입력합니다.
쿼리 내용은 간단합니다. 대괄호 안에 사용자 계정과 Windows Server 2008에서 로그온 실패를 나타내는 eventid(4625)를 입력하시면 됩니다.

get-eventlog -logname security | where-object { $_.message -match '사용자계정' -and $_.eventid -eq 4625 }

 
[참고 자료]
Logparser를 이용한 Event log 쿼리 방법
http://ryuchan.kr/147

Hey, Scripting Guy! How Can I Query Event Logs to Discover Active Directory Information?
http://blogs.technet.com/b/heyscriptingguy/archive/2009/04/07/how-can-i-query-event-logs-to-discover-active-directory-information.aspx

감사합니다.

Comment 0