Question Récupérer la "Description de l'ordinateur"

je connais l'id 4624 mais il faut aussi le filtré sur le logontype a 2 (Type d’ouverture de session) sinon tu a toutes les type connexions de tous (services, voisinage réseaux. etc) plus d'info ici si tu lis l'anglais

essai ceci sur ton ordi :
[code:1]
$filterXML = @'
<QueryList>
<Query Id=\"0\" Path=\"Security\">
<Select Path=\"Security\">
(*[System[(EventID = 4624 )]] and *[EventData[Data[@Name='LogonType']='2']])
</Select>
</Query>
</QueryList>
'@

$events = Get-WinEvent -FilterXml $filterXML -MaxEvents 10
$comptes = @()
$events | foreach {
$eventXML = [xml]$_.ToXml()
switch ($eventXML.Event.EventData.Data) {
{$_.name -eq 'TargetUserName'} {$comptes += $_.\"#text\" }
}
}
$comptes[/code:1]

Classe! J'avais pas pensé à la conversion en xml + l'interrogation via cmdlet winevent et filtre Xpath.

Comme quoi on en apprends tout les jours! ^^

Mes données étaient faussé car j'utilise Windows 10 et il me sort des \"DWM-1\".

Du coup on est bon pour la première partie.

Un Group-object à la fin pourrait nous permettre des les grouper.

[code:1]$comptes | Group-Object | Sort-object Count -Descending[/code:1]

Classe! J'avais pas pensé à la conversion en xml + l'interrogation via cmdlet winevent et filtre Xpath.

voici mes sources secrète !!!
PowerShell Get-WinEvent XML Madness: Getting details from event logs de Ashley McGlone
et Advanced XML filtering in the Windows Event Viewer de NedPyle (MSFT)

ta première idée peut être utilisé comme ce qui suit, Win32_NTLogEventUser renvoie les évents 65 du journal application :
[code:1]$filterXML = @'
<QueryList>
<Query Id=\"0\" Path=\"Application\">
<Select Path=\"Application\">
*[System[(EventID = 65 )]]
</Select>
</Query>
</QueryList>
'@
$events = Get-WinEvent -FilterXml $filterXML -MaxEvents 10
$comptes = @()
$events | foreach {
$eventXML = [xml]$_.ToXml()
switch ($eventXML.Event.EventData.Data) {
{$_.name -eq 'Context'} {$comptes += $_.\"#text\" }
}
}
$comptes[/code:1]on rajoute un filtre pour les comptes service et on n'a presque la même chose

Du coup on est bon pour la première partie.

c'est a Galadan de décidé, c'est sont projet !
mais oui on n'a un bon résultat !<br><br>Message édité par: 6ratgus, à: 25/01/16 09:19

Mes données étaient faussé car j'utilise Windows 10 et il me sort des \&quot;DWM-1\&quot;.

je viens de jeté un oeil sur un win10, il semble avoir l'habitude d'utilisé le logontype 11 (le cache password domaine en hors réseau) mais j'ai des soucis de réseau/VLAN, ceci explique peut-être cela !

peut tu regardé stp dans ton journal les logontype utilisé sous win10 à l'ouverture de session ? j'aimerai savoir ce que tu trouve
moi j'ai 2 events avec logontype a 2 avec user DWM puis 10 seconde apres 2 events logontype 11 et le bon user et enfin 2 events avec logontype 7 et le bon user


pour dwm \&quot;Desktop Window Manager\&quot; j'ai pas trouvé d'info clair sur le sujet pour l'instant

voici mes sources secrète !!!

Merci j'y jetterai un œil tête reposé! Par contre je crois que le second liens est HS !

ta première idée peut être utilisé comme ce qui suit, Win32_NTLogEventUser renvoie les évents 65 du journal application

Hum je n'ai pas cela de mon coté... La class Win32 référence des événements Système et Application. Mais les deux trois éléments que j'ai trouvé niveau Application font références à des Erreurs 5973.

c'est a Galadan de décidé, c'est sont projet !

Autant pour moi, je suis allé un peu vite en besogne

moi j'ai 2 events avec logontype a 2 avec user DWM

Je peut rajouter qu'il s'agit du process \&quot;Advapi\&quot;.

puis 10 seconde apres 2 events logontype 11 et le bon user

J'ai également ça, mais avec 22 secondes d'intervalle. Autre chose qui doit sans doute différer, mon compte est un compte Microsoft. J'ai donc l'adresse mail en \&quot;TargetUserName\&quot; et \&quot;MicrosoftAccount\&quot; en \&quot;TargetDomainName\&quot;.
Le process rattaché est svchost.exe.

et enfin 2 events avec logontype 7 et le bon user

J'ai également cela, avec comme process lsass.exe

pour dwm \&quot;Desktop Window Manager\&quot; j'ai pas trouvé d'info clair sur le sujet pour l'instant

J'ai seulement cherché l'acronyme pour l'instant.

Oula!! ça boss ici!!

Merci à vous deux!

Du coup je suis un peu perdu, on est clairement au dessus de mes connaissances!
Un petit résumé?

On est bien sur une gpo computer et l'idée de recup tout les logon et de faire un tri et exactement ce que je cherche a faire.

Vous voulez que je test quelque chose? Je peux tester sur mon domaine.

Merci encore.