5.02021-11-21T21:26:44ZWindows Event LogEvent User LogEvent User Log## Overview
Check windows event log:
1. Create user account
2. User account on
3. User account off
4. User account password reset
5. Delete user account
6. Unlocked user account
+ changed domain policy and cleaned security log
## Author
Andrew Herasym
Windows Event LogGPO LogsSecurity LogsUsers Logs- Cleaned Security LogZABBIX_ACTIVEeventlog[Security,,,,1102,,]3000LOGОчищений журнал безпекиSecurity Logs{logeventid(4722)}=1 and {nodata(5)}=0Cleaned Security LogHIGHОчищений журнал безпеки
- Create UserZABBIX_ACTIVEeventlog[Security,,,,4720,,]30045d0LOGОбліковий запис користувача створеноUsers Logs{logeventid(4720)}=1 and {nodata(5)}=0Create UserINFOОбліковий запис користувача створено
- User OnZABBIX_ACTIVEeventlog[Security,,,,4722,,]30045d0LOGОбліковий запис користувача включеноUsers Logs{logeventid(4722)}=1 and {nodata(5)}=0User OnINFOОбліковий запис користувача включено
- User Password ResetZABBIX_ACTIVEeventlog[Security,,,,4724,,]30045d0LOGПароль користувача скинутоUsers Logs{logeventid(4722)}=1 and {nodata(5)}=0User Password ResetINFOПароль користувача скинуто
- User OffZABBIX_ACTIVEeventlog[Security,,,,4725,,]30045d0LOGОбліковий запис користувача виключеноUsers Logs{logeventid(4725)}=1 and {nodata(5)}=0User OffINFOОбліковий запис користувача відключено
- Delete UserZABBIX_ACTIVEeventlog[Security,,,,4726,,]30045d0LOGОбліковий запис користувача видаленоUsers Logs{logeventid(4726)}=1 and {nodata(5)}=0Delete UserINFOОбліковий запис користувача видалено
- Changed domain policyZABBIX_ACTIVEeventlog[Security,,,,4739,,]3000LOGЗмінена політика доменуGPO Logs{logeventid(4739)}=1 and {nodata(5)}=0Changed domain policyAVERAGEЗмінена політика домену
- Unlocked UserZABBIX_ACTIVEeventlog[Security,,,,4767,,]30045d0LOGОбліковий запис користувача розблокованоUsers Logs{logeventid(4767)}=1 and {nodata(5)}=0Unlocked UserINFOОбліковий запис користувача розблоковано