제목 그대로 윈도우 2012서버에 계정이 많아 관리를 위해 계정이력을 확인하고 싶습니다.
계정별로 언제 만들어졌는지와 같은 로그?이력?들을 확인할 수 있는 방법이 있을까요 ?
윈도우 2012서버 계정관련 로그 확인방법
제목 그대로 윈도우 2012서버에 계정이 많아 관리를 위해 계정이력을 확인하고 싶습니다.
계정별로 언제 만들어졌는지와 같은 로그?이력?들을 확인할 수 있는 방법이 있을까요 ?
4개의 답변이 있습니다.
혹시 로그가 남아 있지 않으면 감사 기능으로 하여 로그를 남겨두세요~횐님들이 잘 알려주셨네요
로그는 이벤트 로그에서 event ID를 이용해서 찾아 보면 되겠고...
로그가 영구 보존되는 것이 아니다 보니...
계정이 만들어진 날짜를 event log를 찾는 건 항상 유효한 건 아닌걸로 보이네요.
많은 수의 계정들을 관리하는 목적이라면...
net user 계정ID
명령을 이용하면 최근 로그온 한 일자, 마지막으로 암호 설정한 날짜, 계정 만료일 등의 해당 계정에 대한 사용 이력들을 확인 가능하기 때문에 이벤트 로그를 찾아 보는것 보다 net user 명령을 사용해 보는 것이 도움이 되지 않을까 싶어 보이네요.
모든 계정에 대해서 net user 명령을 실행해 보고 싶다면
for /f "delims= " %a in ( 'net user ^|findstr /v \\ ^| findstr ^^[a-z]' ) do net user %a
와 같이 net user 명령을 for 반복문을 사용해서 실행해 주면 될 것 같고...
계정이 만들어 진 날짜는...
해당 계정 폴더에 있는 directory나 파일들 중에 가장 오래된 파일을 기준으로 추정해 보면 되지 않을까 싶어 보이고요.
각 계정들이 c:\users 아래에 있다 보니...
dir /ah /od c:\users\계정ID
와 같이 명령으로 줘서 제일 위에 있는 List의 일자로 추정해 볼 수 있지 않을까 싶어 보이네요.
이것도 find 문과 for 문등을 이용해서 스크립트로 만든다면 모든 계정에 대해서 반복하게 하고 제일 첫줄의 파일에 대한 일자를 추출해서 보여 주는 형식으로 한번에 확인 가능하도록 해서 사용해 볼 수도 있을 것 같고...
Windows 로그는 버전마다 다른게 아니라 일반적으로 event viewer에서 전체적으로 관리를 합니다
계정 뿐만아니라 , 장애나 문제 시 event id 를 확인하면 됩니다
이벤트뷰어에서 확인하는 방법과 Powershell로 조회 방법이 있습니다.
[이벤트뷰어에서 확인하는 방법]
- 계정 생성일 조회
이벤트뷰어 > windows 로그 > 메뉴... 필터링 (이벤트ID 4720 입력) 하면
계정 생성 이력들 리스트 나옵니다.
- 로그인 이력 조회
이벤트뷰어 > windows 로그 > 메뉴... 필터링 (이벤트ID 4624 입력) 하면
계정 로그인 이력들 리스트 나옵니다.
[Powershell로 조회 방법]
- 계정 생성일 조회
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4720} | Select-Object -Property TimeCreated, Message
- 로그인 이력 조회
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Select-Object -Property TimeCreated, Message
해서 조회하시면 데이터 나옵니다.