Medición de tiempos de inicio de sesión de usuario de Windows 7

Un cliente me ha pedido que calcule los tiempos promedio de inicio de sesión para máquinas y usuarios. Hasta ahora, he descubierto que el evento registra algunas botas que tardan más que los umbrales establecidos por las claves que se encuentran en:

HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Boot

Pero las teclas parecen estar bloqueadas, por lo que no puedo editarlas para reducir los umbrales y garantizar el registro de cada arranque. ¿Hay algún método para encontrar los tiempos de inicio de sesión para cada inicio de sesión que sea lo suficientemente detallado como para decirle al usuario que está iniciando sesión y una posible información más detallada? Esto también debe ser lo suficientemente ligero como para ejecutarse en cada inicio de sesión y no causar efectos notables para el usuario .

Hace poco me pidieron que hiciera algo muy similar, pero que incluyera los tiempos de arranque y de inicio de sesión y permitiera referencias históricas. entonces el script de powershell a continuación hace lo siguiente:

1. toma algunas variables de entorno
2. obtiene el sello de fecha y hora para 4 entradas de registro de eventos diferentes. El segundo y el cuarto de estos no son mediciones exactas, pero después de una investigación bastante extensa, resolución de problemas y pruebas, están muy cerca y, por lo que he visto, son las mejores opciones.
3. calcula la diferencia entre estos 4 eventos
4. completa todos los números en una tabla SQL simple [podría adaptarse para canalizar los números a lo que quiera, por supuesto]

Por lo tanto, el script está destinado a ejecutarse mediante una tarea programada o en algún horario si tiene SCCM quizás (no durante el inicio de sesión para no cambiar el inicio de sesión). Lo bueno es que puede cambiar el nombre de la PC a cualquier otra cosa para ejecutarlo desde su propia PC y obtener los datos de una computadora remota (aunque el nombre de usuario aparecerá como propio) para solucionar problemas y verificar los números.

Di otro paso y usé SharePoint para crear una lista de datos externos (usando BCS) para que tengan una buena interfaz gráfica de usuario. Script a continuación, he dejado en la mayoría de las líneas comentadas que usé al escribirlo:

$USER = $env:username.ToUpper()
$COMPUTER = $env:computername.ToUpper()
$Current_Time = Get-Date
$PCname = ''
$addedtime = 0

#1. get event time of last OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (Level=4 or Level=0) and (EventID=12)]]</Select>
  </Query>
</QueryList>
'@
$OSLoadTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host $PCname
#Write-Host "1. Last System Boot @ " $OSLoadTime

#2. Get event time of Time-Service [pre-Ctrl+Alt-Del] after latest OS load
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Time-Service'] and (Level=4 or Level=0) and (EventID=35)]]</Select>
  </Query>
</QueryList>
'@
$CtrlAltDelTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
#Write-Host "2. Time-sync after Boot @ " $CtrlAltDelTime
#get minutes (rounded to 1 decimal) between OS load time and 1st load of GPOs
$BootDuration = "{0:N1}" -f ((($CtrlAltDelTime - $OSLoadTime).TotalSeconds + $addedtime)/60)

#3. get event time of 1st successful logon
$filterXML = @'
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=7001)]]</Select>
  </Query>
</QueryList>
'@
$LogonDateTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML -ErrorAction SilentlyContinue).timecreated

If ($LogonDateTime) { 
    #Write-Host "3. Successful Logon @ " $LogonDateTime 
    } 
    Else {
    #Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white
    #Write-Host $PCname "has not logged back in." -foregroundcolor red -BackgroundColor white
    Exit
    }
#Write-Host "Duration of Bootup = " $BootDuration "minutes" -foregroundcolor blue -BackgroundColor white

#4. Get Win License validated after logon (about same time as explorer loads)
$filterXML = @'
<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Winlogon'] and (Level=4 or Level=0) and (EventID=4101)]]</Select>
  </Query>
</QueryList>
'@
$DesktopTime=(Get-WinEvent -ComputerName $PCname -MaxEvents 1 -FilterXml $filterXML).timecreated
$LogonDuration = "{0:N1}" -f ((($DesktopTime - $LogonDateTime).TotalSeconds + $addedtime)/60)
#Write-Host "4. WinLicVal after Logon @ " $DesktopTime
#Write-Host "Duration of Logon = " $LogonDuration "minutes" -foregroundcolor blue -BackgroundColor white

#START SQL Injection Section
[void][reflection.assembly]::LoadWithPartialName("Microsoft.SqlServer.Smo")

$sqlServer = "SQLserver01"
$dbName = "BootUpTimes"
$tbl = "tblBootUpTimes"
#$srv = New-Object Microsoft.SqlServer.Management.Smo.Server $sqlServer
#$db = $srv.databases[$dbName]
#$conn = New-Object System.Data.SqlClient.SqlConnection("Data Source=$sqlServer;Initial Catalog=$dbName; Integrated Security=SSPI")
$conn = New-Object System.Data.SqlClient.SqlConnection("server=$sqlServer;database=$dbName;Password=plaintext;User Id=BootUpTimes")
$conn.Open()
$cmd = $conn.CreateCommand()
$cmd.CommandText = "INSERT INTO $tbl VALUES ('$Current_Time','$USER','$COMPUTER','$OSLoadTime','$CtrlAltDelTime','$BootDuration','$LogonDateTime','$DesktopTime','$LogonDuration')"
Try
{
$null = $cmd.ExecuteNonQuery()
}
Catch
{
}
$conn.Close()

En esta última sección de SQL hay unas pocas líneas comentadas que ofrecen otro método (basado en seguridad) para ingresar a SQL sin necesidad de alguna contraseña en texto sin formato.

No estoy seguro de por qué alguien pensaría que un script lo ayudaría a determinar los tiempos de inicio de sesión (después de todo, no puede ejecutar el script hasta que alguien haya iniciado sesión, y los tiempos de extracción no ayudarán, ya que la deriva del tiempo ciertamente causaría un mal informe, lo que también no se corregirá hasta el procesamiento de inicio. La herramienta que le sugiero que use es la herramienta xperf del kit de herramientas de rendimiento. Desea ver los tiempos de exploración para el tiempo total de inicio de sesión. Consulte Análisis de rendimiento de transición de encendido / apagado de Windows para obtener explicaciones detalladas de qué sucede desde el arranque hasta el escritorio. Consulte las Herramientas de análisis de rendimiento de Windows para obtener xperf y xbootmgr de los lugares apropiados.

/superuser/250267/how-to-diagnose-slow-booting-or-logon-in-windows-7

Este hilo muestra la forma "Microsoft" de diag de arranque utilizando las herramientas de análisis de rendimiento de Windows

Muy buen procedimiento documentado de Microsoft en "Rendimiento de transición de encendido / apagado", también conocido como encendido o apagado de Windows: http://msdn.microsoft.com/en-us/windows/hardware/gg463386.aspx

Con estas herramientas oficiales, puede proporcionar una respuesta autorizada a su cliente. Muy superior a tratar de usar secuencias de comandos, en mi opinión. Puede ser un poco exagerado si sus necesidades son básicas.

También de ese hilo no te pierdas el sitio web de Soluto si tus necesidades son extremadamente básicas :)

El siguiente archivo por lotes ejecutado como una secuencia de comandos de inicio de sesión le indicará cuánto tiempo lleva desde la autenticación hasta que el shell esté listo.

set logfile=\\server\share\%computername%-%username%.log
net user /domain %username% | find /I "Last logon" > %logfile%
net time %logonserver% >> %logfile%

No he probado esto, y he hecho algunas suposiciones.

1. El tiempo de inicio de sesión devuelto por net useres el momento en que el DC realizó la autenticación. Creo que este es el caso, pero no puedo encontrar nada concreto que lo respalde.
2. El script de inicio de sesión se ejecuta a medida que se carga el shell del usuario. Este ciertamente es el caso si usa los scripts de inicio de sesión NT4 antiguos, a diferencia de los scripts de inicio de sesión definidos por las políticas de grupo, pero como los scripts de inicio de sesión de GPO se ejecutan ocultos para el usuario (de forma predeterminada), nunca he visto el momento en que son ejecutados
3. Sus nombres de usuario no contienen espacios, puede que necesite poner %username%comillas si este es el caso.
4. Tiene un recurso compartido de escritura mundial donde se registrarán los datos ( \\server\shareen el ejemplo anterior). Puede iniciar sesión localmente en máquinas individuales, pero eso hará que sea más difícil examinar los resultados.

Editar:

He actualizado el guión para lidiar con la deriva del tiempo que le preocupa a Jim. La hora de inicio de sesión desde el net usecomando se toma del reloj del controlador de dominio de autenticación. El net timecomando ahora también toma el tiempo del mismo servidor.