PowerShell
#migrated

PowerShell > ログイン履歴の表示

動作環境
Windows 8.1 Pro (64bit)

参考: https://social.technet.microsoft.com/Forums/lync/en-US/4f6815f1-2998-484c-a423-fe6507f1548c/powershell-script-to-fetch-logonlogoff-user-on-particular-server-getwinevent-geteventlog?forum=winserverpowershell

参考: https://ss64.com/ps/get-eventlog.html

code > v0.1

最新10個のログインを見る方法は以下のようだ。

> Get-Eventlog Security  -Source Microsoft-Windows-Security-Auditing -newest 10
結果
 169922 10 13 08:36   SuccessA... Microsoft-Windows...         4672 新しいログオンに特権が割り...
 169921 10 13 08:36   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオン...
 169920 10 13 08:34   SuccessA... Microsoft-Windows...         4672 新しいログオンに特権が割り...
 169919 10 13 08:34   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオン...
 169918 10 13 08:26   SuccessA... Microsoft-Windows...         4672 新しいログオンに特権が割り...
 169917 10 13 08:26   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオン...
 169916 10 13 08:26   SuccessA... Microsoft-Windows...         4672 新しいログオンに特権が割り...
 169915 10 13 08:26   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオン...
 169914 10 13 08:26   SuccessA... Microsoft-Windows...         4672 新しいログオンに特権が割り...
 169913 10 13 08:26   SuccessA... Microsoft-Windows...         4624 アカウントが正常にログオン...

code > v0.2

InstanceID 4624だけ抽出は以下。

> Get-Eventlog Security -Source Microsoft-Windows-Security-Auditing -newest 10 | where {$_.InstanceID -like "4624"}