En este artículo, revisaremos cómo permitir la auditoría de eventos de inicio de sesión en sus puntos finales de Windows y recibir un informe CSV sobre los intentos de inicio de sesión que se produjeron entre dos fechas.
El informe mostrará la hora de creación del evento, el nombre de usuario del dominio y el resultado del intento de inicio de sesión. Las tres opciones de intento de inicio de sesión son Inicio de sesión interactivo correcto, Inicio de sesión remoto correcto y Fallo de inicio de sesión.
Puede utilizar la siguiente línea de comandos para listar la configuración de la política de auditoría:
auditpol /get /category:*
Además, puede activar los eventos de inicio de sesión de auditoría de forma remota utilizando este comando:
auditpol /set /subcategory:Logon /success:enable /failure:enable
Enabled auditing logs
1. Acceda a su terminal Windows. Pulsa WinKey+R en tu teclado. Introduce gpedit.msc y haz clic en Aceptar.
2. Vaya a la siguiente ruta Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría.
3. Haga doble clic en Auditar eventos de inicio de sesión.
4. La ventana llamada Auditar eventos de inicio de sesión Propiedades. Marque las casillas Éxito y Fallo y pulse Aceptar.
Clonar el script de auditoría de inicio de sesión
1. Desde Admin (en el panel lateral), haga clic en Scripts.
Aparece la página Scripts.
2. Vaya a la biblioteca de scripts compartidos y busque el script denominado Auditoría de inicio de sesión (puede utilizar el cuadro Nombre de script para filtrar los resultados).
3. Haga clic en Clonar para copiar el script en Mis Scripts.
Ahora encontrará el script en "Mis scripts" con el nombre "Login Audit (copy).".
4. Ejecute el script clonado en sus dispositivos, consulte el artículo Ejecutar un script, para saber más. Tendrá un nuevo archivo .csv en la ruta que eligió en $ResultFile como se muestra a continuación.