Discussion :

[reinruof77]

Bonjour à tous


j'ai ce code qui fonctionne très bien mais je n'arrive pas à récupérer l'adresse IP de l'user connecter.

Code PowerShell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$UserProperty = @{n="user";e={(New-Object System.Security.Principal.SecurityIdentifier $_.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}}
$TypeProperty = @{n="Action";e={if($_.EventID -eq 7001) {"Logon"} else {"Logoff"}}}
$TimeProeprty = @{n="Time";e={$_.TimeGenerated}}
Get-EventLog System -Source Microsoft-Windows-Winlogon | select $UserProperty,$TypeProperty,$TimeProeprty | export-csv -path E:\Historique\track.csv -NoTypeInformation

Et deuxième chose sur cette ligne comment ajouter la date du jour.

Code PowerShell :

Sélectionner tout - Visualiser dans une fenêtre à part

Get-EventLog System -Source Microsoft-Windows-Winlogon | select $UserProperty,$TypeProperty,$TimeProeprty | export-csv -path E:\Historique\track.csv -NoTypeInformation

Merci de votre Aide.

[ericlm128]

1)
Tu as buger je pense
TimeProeprty

2)
Tu doit ajouter une propriété calculée
https://docs.microsoft.com/en-us/pow...w=powershell-6 Example 10
https://mcpmag.com/articles/2017/01/...roperties.aspx

[reinruof77]

Bonjour ericlm128

deja merci pour ton aide

je pense que j'ai du mal m'exprimer je recupere bien les données user , action et date de connection.voir si dessous



ce que je n'arrive pas a faire (DEBUTANT confirmer) c'est recuperer l'adresse ip qui c'est connecter.

et l'ors de l'export

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

export-csv -path E:\Historique\track.csv

je voudrais ajouter la date (export-csv -path E:\Historique\track (date du jour de l'extraction).csv

merci de votre aide

[ericlm128]

Pour ta deuxième question tu peux (re)consulter ma deuxième réponse sous 2)

[reinruof77]

RE

je suis aller voir sur les deux site .

Le probléme c'est que je n'y comprend pas grand chose.

Merci quand même.

[Laurent Dardenne]

Salut,
le code de ton premier post utilise 3 propriétés calculées, il suffit d'en ajouter une autre:

Code Powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$UserProperty = @{n="user";e={(New-Object System.Security.Principal.SecurityIdentifier $_.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}}
$TypeProperty = ...
$TimeProeprty = ...
$IP= @{n="IP";e={ todo }

Ensuite tu ajoutes cette propriété dans la ligne suivante contenant Select-Object

Code Powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
select $UserProperty,$TypeProperty,$TimeProeprty,$IP

[reinruof77]

Bonjour et merci Laurent Dardenne

j'ai changé complètement de méthode.

Voici le code qui fonctionne à la perfection.

Code PowerShell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
Param(
    [array]$ServersToQuery = (hostname),
    [datetime]$StartTime = "January 1, 2018"
)
 
    foreach ($Server in $ServersToQuery) {
 
        $LogFilter = @{
            LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
            ID = 21, 23, 24, 25
            StartTime = $StartTime
            }
 
        $AllEntries = Get-WinEvent -FilterHashtable $LogFilter -ComputerName $Server
 
        $AllEntries | Foreach { 
            $entry = [xml]$_.ToXml()
            [array]$Output += New-Object PSObject -Property @{
                TimeCreated = $_.TimeCreated
                User = $entry.Event.UserData.EventXML.User
                IPAddress = $entry.Event.UserData.EventXML.Address
                EventID = $entry.Event.System.EventID
                ServerName = $Server
                }        
            } 
 
    }
 
    $FilteredOutput += $Output | Select TimeCreated, User, ServerName, IPAddress, @{Name='Action';Expression={
                if ($_.EventID -eq '21'){"logon"}
                if ($_.EventID -eq '22'){"Shell start"}
                if ($_.EventID -eq '23'){"logoff"}
                if ($_.EventID -eq '24'){"disconnected"}
                if ($_.EventID -eq '25'){"reconnection"}
                }
            }
 
    $Date = (Get-Date -Format s) -replace ":", "."
    $FilePath = "$env:USERPROFILE\Desktop\$Date`_Historique de connection.csv"
    $FilteredOutput | Sort TimeCreated | Export-Csv $FilePath -NoTypeInformation
 
Write-host "Writing File: $FilePath" -ForegroundColor Cyan
Write-host "Done!" -ForegroundColor Cyan
 
 
#End

au cas où cela pourrais aider quelqu'un.

Merci au forum pour son aide.

[ericlm128]

Une préférence d'écriture personnel (discutable surement)

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
[array]$ServersToQuery = $env:COMPUTERNAME
[DateTime]$StartTime = [DateTime]::ParseExact("01/01/2018","dd/MM/yyyy",[System.Globalization.CultureInfo]::InvariantCulture)
 
$LogFilter = @{
    LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
    ID = 21, 23, 24, 25
    StartTime = $StartTime
}
 
$Output = foreach ($Server in $ServersToQuery)
{
    Get-WinEvent -FilterHashtable $LogFilter -ComputerName $Server -ErrorAction SilentlyContinue |
        Select-Object TimeCreated,
            @{Name = 'User' ; Expression = {([xml] $_.ToXml()).Event.UserData.EventXML.User} },
            @{Name = 'IPAddress' ; Expression = {([xml] $_.ToXml()).Event.UserData.EventXML.Address} },
            @{Name = 'Action' ; Expression = {
                switch (([xml] $_.ToXml()).Event.System.EventID)
                    {
                        21 { 'logon' }
                        22 { 'Shell start' }
                        23 { 'logoff' }
                        24 { 'disconnected' }
                        25 { 'reconnection' }
                    }
            }},
            @{Name = 'ServerName' ; Expression = {$Server }} |
            Sort-Object TimeCreated
}