Extraire log Windows

@echo Off
:: Script d'affichage des derniers ouverture / fermeture de session utilisateur
:: LittleMonkey - 11/09/2013
::
:: Utilisation : Copier le script sur le bureau
::               Cliquer droit sur le script -> Exécuter en tant qu'administrateur
::               Saisir le nombre d'ouverture / fermeture de session à afficher
::               Résultat : à l'écran
::
:: Identifiant des évènements :
::    4647 : fermeture de session, redémarrage, ou arrêt du PC
::    4648 : ouverture de session et toute utilisation explicit de compte (incluant les "Execute en tant que", et les tâches planifiée)
::    4800 : verrouillage de session
::    4801 : déverrouillage de session

::Récupération du nombre d'alertes
SET nbSessionEvt=
SET /p nbSessionEvt=Afficher combien d'actions ? 

::
@echo --- Liste ouverture / fermeture de session --- 
wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ((EventID=4647) or (EventID=4648) or (EventID=4800) or (EventID=4801))]]" /c:%nbSessionEvt% /rd:True /f:Text | findstr /C:"Date:" /C:"Nom du compte" /C:"Task:" | more
@echo ---
@echo --- Fin de Liste ouverture / fermeture de session --- 
@echo ---
pause 

 

Export vers fichier text et 50 événements
@echo Off

::
@echo --- Liste ouverture / fermeture de session --- 

wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ((EventID=4647) or (EventID=4648) or (EventID=4800) or (EventID=4801))]]" /c:50 /rd:True /f:Text | findstr /C:"Date:" /C:"Nom du compte" /C:"Task:" /C:"Adresse du réseau"  | more > test.txt

@echo ---
@echo --- Fin de Liste ouverture / fermeture de session --- 
@echo ---
pause

Laisser un commentaire