[Win7] ログオン時間をコマンドで調べる

I00_win7_get_logon_datetime.md

概要

• Windows 7 でログイン日時をコマンドで取得する
• net user および WMIC を使用

環境

• Windows 7 Enterprise 32bit
• Active Directory ユーザ (非管理者)

参考

• wmicコマンドでイベント・ログを表示する - 打越浩幸，デジタルアドバンテージ - ＠IT - [2008-04-25]
  https://www.atmarkit.co.jp/ait/articles/0804/25/news171.html

• PCのログから起動・ログイン時間を抽出して勤務実態を調査する方法。（GET-WinEvent) - arakan_boku - "BOKU"のITな日常 - [2019-07-08]
  https://arakan-pgm-ai.hatenablog.com/entry/2018/01/13/080000

手順

net user コマンドで直近のログイン日時を調べる

net user <ユーザ名> /domain
この要求はドメイン <ADドメイン> のドメイン コントローラーで処理されます。

<省略>

最終ログオン日時                     2017/10/10 12:08:00

<省略>
コマンドは正常に終了しました。

WMIC (Windows Management Instrumentation Command line) を使用してイベントログから取得

> wmic ntevent where "(logfile='system' and timegenerated>='20171008' and eventcode='7001')" list /FORMAT:CSV

Node,EventIdentifier,EventType,Message,RecordNumber,SourceName,TimeGenerated
HostName,7001,3,カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知,326484,Microsoft-Windows-Winlogon,20171010030759.913632-000
HostName,7001,3,カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知,326060,Microsoft-Windows-Winlogon,20171010023649.393158-000
HostName,7001,3,カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知,325366,Microsoft-Windows-Winlogon,20171009022158.783523-000
HostName,7001,3,カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知,324768,Microsoft-Windows-Winlogon,20171008011515.824430-000

時刻はGMT表示のため注意。条件や出力形式の指定はヘルプを参照。

PowerShell + Win10 の場合下記でも取得できたが非常に時間がかかった

Get-WmiObject -Class Win32_NTLogEvent | 
Where-Object {
  $_.LogFile -eq 'System' `
  -and ($_.EventCode -eq 7001 -or $_.EventCode -eq 7002) `
  -and $_.TimeGenerated -ge 20210405
}