In diesem Artikel werden wir überprüfen, wie Sie die Protokollierung von Anmeldeereignissen auf Ihren Windows-Endpunkten zulassen und einen CSV-Bericht über Anmeldeversuche erhalten, die zwischen zwei Daten stattgefunden haben. 

Der Bericht zeigt die Erstellungszeit des Ereignisses, Domäne\Benutzername und das Ergebnis des Anmeldeversuchs. Die drei Optionen für Anmeldeversuche sind Interaktiver Anmeldeerfolg, Remote-Anmeldeerfolg und Anmeldefehler. 

Sie können die folgende Befehlszeile verwenden, um die Einstellungen der Überwachungsrichtlinie aufzulisten:

auditpol /get /category:*

Außerdem können Sie die Überwachung von Anmeldeereignissen remote mit diesem Befehl aktivieren:

auditpol /set /subcategory:Logon /success:enable /failure:enable

Aktivierte Überwachungsprotokolle

1. Greifen Sie auf Ihren Windows-Endpunkt zu. Drücken Sie auf Ihrer Tastatur WinKey+R. Geben Sie gpedit.msc ein und klicken Sie auf OK. 

2. Gehen Sie zu folgendem Pfad: Computerkonfiguration  > Windows-Einstellungen  > Sicherheitseinstellungen > Lokale Richtlinien  >  Überwachungsrichtlinie 

3. Doppelklicken Sie auf  Überwachungsanmeldeereignisse.

4. Das Fenster mit dem Namen Eigenschaften der Überwachungsanmeldeereignisse. Markieren Sie die Kontrollkästchen Erfolg und Fehler und klicken Sie auf OK. 

Login-Audit-Skript klonen

1. Gehen Sie zu Admin (im Seitenbereich) und klicken Sie auf Skripte.

Die Skriptseite erscheint

2. Gehen Sie zur Shared Script Library und suchen Sie nach dem Skript mit dem Namen Login Audit (Sie können das Feld Skriptname verwenden, um die Ergebnisse zu filtern)

3. Klicken Sie auf Klonen, um das Skript in Meine Skripte zu kopieren.

Sie finden das Skript nun unter 'Meine Skripte' mit dem Namen 'Login Audit (Kopie).

4. Führen Sie das geklonte Skript auf Ihren Geräten aus, lesen Sie den Artikel Ein Skript ausführen, um mehr zu erfahren. Sie erhalten eine neue .csv-Datei in dem Pfad, den Sie in $ResultFile wie unten angegeben gewählt haben.