Windows 7ユーザーのログイン時間の測定

クライアントから、マシンとユーザーの平均ログイン時間を計算するように依頼されました。これまでのところ、イベントのログには、次の場所にあるキーで設定されたしきい値よりも長い時間がかかるブートが記録されていることがわかりました。

HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Boot

しかし、キーがロックされているように見えるので、起動ごとにログを記録するためにしきい値を低くするように編集することはできません。ログインしていることをユーザーに知らせるのに十分な詳細度で、ログオンごとにログイン時間を見つける方法はありますか？これは、すべてのログインで実行するのに十分軽量であり、ユーザーに顕著な影響を与えない必要があります。

私は最近、非常によく似たことをするように求められましたが、起動時間とログオン時間を含め、履歴を参照できるようにする必要があります。したがって、以下のPowerShellスクリプトは次のことを行います。

1. いくつかの環境変数を取得
2. 4つの異なるイベントログエントリの日時スタンプを取得します。これらの2番目と4番目は正確な測定値ではありませんが、かなり広範囲にわたる調査、トラブルシューティング、およびテストの後、それらは非常に近く、私が見た限りでは最良のオプションです。
3. これら4つのイベントの差を計算します
4. すべての数値を単純なSQLテーブルに入力します[もちろん、数値を必要なものにパイプするように適応できます]

そのため、SCCMがある場合は、スクリプトはスケジュールされたタスクを介して、または何らかのスケジュールで実行することを意図しています（ログオンを変更しないように、ログオン中ではありません）。PC名を他の名前に変更して自分のPCから実行し、リモートコンピュータからデータを取得して（ユーザー名は自分のものとして表示されます）、トラブルシューティングを行って番号を確認できるのはすばらしいことです。

私は別のステップを踏み、SharePointを使用して（BCSを使用して）外部データのリストを作成したので、フロントエンドのGUIが優れています。以下のスクリプト、私がそれを書いている間に使用したコメント行のほとんどを残しました：

$USER = $env:username.ToUpper()
$COMPUTER = $env:computername.ToUpper()
$Current_Time = Get-Date
$PCname = ''
$addedtime = 0

#1. get event time of last OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (Level=4 or Level=0) and (EventID=12)]]</Select>
  </Query>
</QueryList>
'@
$OSLoadTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host $PCname
#Write-Host "1. Last System Boot @ " $OSLoadTime

#2. Get event time of Time-Service [pre-Ctrl+Alt-Del] after latest OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Time-Service'] and (Level=4 or Level=0) and (EventID=35)]]</Select>
  </Query>
</QueryList>
'@
$CtrlAltDelTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host "2. Time-sync after Boot @ " $CtrlAltDelTime
#get minutes (rounded to 1 decimal) between OS load time and 1st load of GPOs
$BootDuration = "{0:N1}" -f ((($CtrlAltDelTime - $OSLoadTime).TotalSeconds + $addedtime)/60)

#3. get event time of 1st successful logon
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=7001)]]</Select>
  </Query>
</QueryList>
'@
$LogonDateTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML -ErrorAction SilentlyContinue).timecreated

If ($LogonDateTime) { 
    #Write-Host "3. Successful Logon @ " $LogonDateTime 
    } 
    Else {
    #Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white
    #Write-Host $PCname "has not logged back in." -foregroundcolor red -BackgroundColor white
    Exit
    }
#Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white

#4. Get Win License validated after logon (about same time as explorer loads)
$filterXML = @'
<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=4101)]]</Select>
  </Query>
</QueryList>
'@
$DesktopTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
$LogonDuration = "{0:N1}" -f ((($DesktopTime - $LogonDateTime).TotalSeconds + $addedtime)/60)
#Write-Host "4. WinLicVal after Logon @ " $DesktopTime
#Write-Host "Duration of Logon = " $LogonDuration "minutes" -foregroundcolor blue -BackgroundColor white

#START SQL Injection Section
[void][reflection.assembly]::LoadWithPartialName("Microsoft.SqlServer.Smo")

$sqlServer = "SQLserver01"
$dbName = "BootUpTimes"
$tbl = "tblBootUpTimes"
#$srv = New-Object Microsoft.SqlServer.Management.Smo.Server $sqlServer
#$db = $srv.databases[$dbName]
#$conn = New-Object System.Data.SqlClient.SqlConnection("Data Source=$sqlServer;Initial Catalog=$dbName; Integrated Security=SSPI")
$conn = New-Object System.Data.SqlClient.SqlConnection("server=$sqlServer;database=$dbName;Password=plaintext;User Id=BootUpTimes")
$conn.Open()
$cmd = $conn.CreateCommand()
$cmd.CommandText = "INSERT INTO $tbl VALUES ('$Current_Time','$USER','$COMPUTER','$OSLoadTime','$CtrlAltDelTime','$BootDuration','$LogonDateTime','$DesktopTime','$LogonDuration')"
Try
{
$null = $cmd.ExecuteNonQuery()
}
Catch
{
}
$conn.Close()

この最後のSQLセクションには、プレーンテキストのパスワードを必要とせずにSQLに入力する別の方法（セキュリティベース）を提供するコメントアウトされた数行があります。

なぜスクリプトがログオン時間を決定するのに役立つと誰が思うのか分かりません（誰かがログオンするまでスクリプトを実行できないので、時間のずれは間違いとして誤った報告を引き起こすため、プル時間は役に立ちません）。スタートアップ処理までは修正されません。使用することをお勧めするツールは、パフォーマンスツールキットのxperfツールです。総ログオン時間のexplorerinit時間を確認する必要があります。詳細な説明については、Windowsのオン/オフ遷移パフォーマンス分析を参照してくださいブートからデスクトップに何が起こるかxperfとxbootmgrを適切な場所から取得するには、Windowsパフォーマンス分析ツールを参照してください。

/superuser/250267/how-to-diagnose-slow-booting-or-logon-in-windows-7

このスレッドは、Windowsパフォーマンス分析ツールを使用した「Microsoft」によるブート診断の方法を示しています。

「オン/オフ遷移パフォーマンス」、つまりWindowsのオン/オフに関するMicrosoftからの非常に優れた文書化された手順：http : //msdn.microsoft.com/en-us/windows/hardware/gg463386.aspx

これらの公式ツールを使用して、クライアントに信頼できる回答を提供できます。私の意見では、スクリプトを使用するよりもはるかに優れています。ニーズが基本的な場合は、少しやりすぎかもしれません。

また、あなたのニーズが非常に基本的な場合は、そのスレッドからSolutoのWebサイトをお見逃しなく:)

ログオンスクリプトとして実行される次のバッチファイルは、認証からシェルの準備が完了するまでにかかる時間を示すのに役立ちます。

set logfile=\\server\share\%computername%-%username%.log
net user /domain %username% | find /I "Last logon" > %logfile%
net time %logonserver% >> %logfile%

私はこれをテストしていません、そして私はいくつかの仮定をしました。

1. によって返されるログオン時間はnet user、DCが認証を実行した時間です。私はこれが事実であると信じていますが、それを裏付ける具体的なものを見つけることができません。
2. ユーザーシェルが読み込まれると、ログオンスクリプトが実行されます。これは、グループポリシーで定義されたログオンスクリプトとは対照的に、古いレガシNT4ログオンスクリプトを使用する場合に当てはまりますが、GPOログオンスクリプトはユーザーに対して非表示で実行されるため（既定では）、タイミングを確認できませんでした。それらは実行されます。
3. ユーザー名にスペースが含まれていない%username%場合、引用符で囲む必要がある場合があります。
4. あなたは、データが記録される世界の書き込み可能な共有を持っています（\\server\share上記の例）。個々のマシンでローカルにログを記録することもできますが、結果を調べるのが難しくなります。

編集：

ジムが関係している時間のずれに対処するためにスクリプトを更新しました。net useコマンドからのログオン開始時刻は、認証ドメインコントローラのクロックから取得されます。このnet timeコマンドは、同じサーバーからも時間がかかるようになりました。