Windows事件ID 6011

您可以通过几种方式来执行此审核 – 首先，获取相关两周信息的方法比较耗时：

• 从您的PDC，使用Windows服务器csved工具导出所有AD用户和计算机。 相应的命令语法是csved -f ADfilename.csv -r objectClass=user并将导出的csv导入到excel文件中，每列都过滤数据（注意：导入时将分隔符设置为逗号和制表符以在过滤之前获取适当的标题）。
• 同样，将PDC日志文件从\ Windows \ Debug \ netsetup.log导入到第二个电子表格中，其select与上面相同。 从那里开始，您可以在两个电子表格（file1.csv – > file2.csv）之间进行比较，并过滤相应的数据。 使用OpenOffice Calc可以非常容易地完成这个任务。

示例事件数据 – 按date/时间等进行过滤

• 执行比较时，可以从实际的服务器日志和当前的AD计算机和用户列表中检查相应的事件。 根据您的请求，关注NETLOGON事件（ID 5719），了解每台计算机的域可用性/不可用性和NetBIOS事件（ID 6011），了解每个用户的域名更改情况。

注：此部分可能需要一段时间，因为您需要search并筛选所有相应的事件，同时比较和重新合并，以查找NetBIOS名称更改中的所有更改。

这样做之后，您可以使用以下程序/脚本示例对AD服务器事件和/或公司计算机进行长期监视：

• 使用Powershell在您的服务器上创build一个永久的事件使用者来监视相关服务的变化。 这是一个有趣的文章，用于创build可以直接在服务器上使用的脚本化WMI事件消费者。 根据微软博客：

关于通过脚本创build永久事件消费者有两件很酷的事情。 首先，它可以很容易地远程执行。 因此，我可以使用脚本来定位多台机器，并在远程机器上创build事件使用者。 第二个很酷的事情是，永久事件消费者很酷。 他们监视和响应事件，而不需要脚本运行。 谈论一些很酷的东西！ 我一次运行一个脚本，然后我的电脑会一直寻找一个事件并对它做出响应。

• 使用第三方工具（如SolarWinds WMI Monitor）在域控制器上查看正在运行的事件状态。 设置以下WMI命名空间类的监视： Win32_NTDomain，Win32_LogonSession，Win32_ComputerSystem

有关WMI NetBIOS类的更多信息，请参阅此处。

你想要的是一个源发起的订阅 。 这涉及GPO将目标计算机指向收集器并在收集器上configuration事件收集器服务。 一旦你开始接收事件，你可以过滤到你需要的特定事件。

您可以通过查看C:\Windows\Debug\netsetup.log来获取when部分。此日志显示域join，分离和重命名。

6011事件不报告谁的部分。 该事件仅在重命名后的重新启动时写入。 除非您正在使用类似Splunk的方式主动保留事件到长期归档，否则这些事件可能不会再出现在单个目标事件日志中。 如果您正在收集事件，请执行testing重命名，并在重新启动之前使用用户标识重命名之后查看是否写入了其他事件。

我会用我的脚本来完成这个任务。

https://gallery.technet.microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb3723

基本上，它会查找最近X天的所有信息，并将其放入HTML5 / CSS3视图。

例如，您可以将其作为每日任务运行