En este artículo, revisaremos cómo permitir la auditoría de eventos de inicio de sesión en sus puntos finales de Windows y recibir un informe CSV sobre los intentos de inicio de sesión que ocurrieron entre dos fechas.
El informe mostrará la hora de creación del evento, dominio\nombre de usuario y el resultado del intento de inicio de sesión. Las tres opciones de intento de inicio de sesión son Éxito de inicio de sesión interactivo, Éxito de inicio de sesión remoto y Fallo de inicio de sesión.
Puede usar la siguiente línea de comando para listar las configuraciones de políticas de auditoría:
auditpol /get /category:*
Además, puede habilitar los eventos de auditoría de inicio de sesión de forma remota usando este comando:
auditpol /set /subcategory:Logon /success:enable /failure:enable
Registros de auditoría habilitados
1. Acceda a su punto final de Windows. Haga clic en WinKey+R en su teclado. Ingrese gpedit.msc y haga clic en OK.
2. Vaya a la siguiente ruta: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría
3. Haga doble clic en Eventos de auditoría de inicio de sesión.
4. La ventana llamada Propiedades de eventos de auditoría de inicio de sesión. Marque las casillas de Éxito y Fallo y haga clic en OK.
Clonar script de auditoría de inicio de sesión
1. Desde Admin (en el panel lateral), haz clic en Scripts.
Aparece la página de Scripts
2. Ve a la Biblioteca de Scripts Compartidos y busca el script llamado Login Audit (puedes usar el cuadro de Nombre del Script para filtrar los resultados)
3. Haz clic en Clonar para copiar el script a Mis Scripts.
Ahora encontrarás el script bajo 'Mis Scripts' llamado 'Login Audit (copy).
4. Ejecuta el script clonado en tus dispositivos, consulta el artículo Ejecutar un Script, para saber más. Tendrás un nuevo archivo .csv en la ruta que elegiste en $ResultFile como se muestra a continuación.