Cómo obtener el historial de inicio de sesión de los usuarios en Active Directory

  # Encontrar la lista de DC de Active Directory
  $DCs = Get-ADDomainController -Filter *
  
  # Definir el tiempo para el informe (el valor predeterminado es 1 día)
  $startDate = (get-date).AddDays(-1)
  
  # Almacene eventos de inicio de sesión exitosos de registros de seguridad con las fechas especificadas y estación de trabajo/IP en una matriz
  foreach ($DC in $DCs){
  $slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}
  
  # Arrastrarse a través de los eventos; imprimir todo el historial de inicio de sesión con el tipo, la fecha/hora, el estado, el nombre de la cuenta, la computadora y la dirección IP si el usuario inició sesión de forma remota
  
  foreach ($e in $slogonevents){
  # Eventos de inicio de sesión exitosos
  # Local (tipo de inicio de sesión 2)
  if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
  write-host "Tipo: Local Logon'tDate: "$e.TimeGenerated "'tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
  }
  # Remoto (tipo de inicio de sesión 10)
  if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
  write-host "Tipo: Inicio de sesión remoto'tDate: "$e.TimeGenerated "'tStatus: Success'tUser: "$e.ReplacementStrings[5] "'tWorkstation: "$e.ReplacementStrings[11] "'tIP Address: "$e.ReplacementStrings[18]
  }}