Есть сетка под виндой (домен, winXP)

Есть куча доменных пользователей. Нужно получить информацию о том, когда куда и какой пользователь логинился на машины из домена. В логах винды такая инфа вроде есть.
Существуют ли готовые инструменты для такого рода занятий?

это разово? сохранить в csv и проанализировать

интересно однако

(1) Нет, регулярно. Еженедельно и ежемесячно.
Руками собирать - зае****ся. 60 машин, 90 пользователей...

http://msdn.microsoft.com/en-us/library/windows/desktop/aa394593(v=vs.85).aspx

http://www.codeproject.com/Articles/42571/WMI-Windows-Event-Logs-and-User-Privileges

(4)(5)
я понимаю, что руками написать можно многое. Но на писанину времени нет вообще...

а какой нибудь эверест не способен ?

(0)WMI скрипт в нетлогон поставь.

http://zheleznov.info/invent_comp.htm

(9)
"Подготовка отчета о количестве, размещении и составе системных блоков для бухгалтерии. Информацию о других основных средствах (мониторах, ИБП, принтерах и т.п.) придется собирать другими способами.
Отслеживание изменений в конфигурации компьютеров, в том числе — выявление случаев самовольной замены комплектующих.
Поиск, отбор и подсчет компьютеров с заданными характеристиками при планировании закупок или при решении каких-либо технических вопросов."

И где тут сведения о логонах?
(8) Надо постфактум собрать...

(10) а просто отфильтровать журнал по событиям и экспортировать в текст ?

типа Аудит успеха и код 540 ?

если конечно точно аудит был включен

3 дня назад занимался

проблеммы
1. csv - получаем разный (зависит от операционки)
2. csv - очень плохо парсится даже для одной машины (причины - блоки для разных событий имеют разный формат)

ихмо самое правильно сделать скрипт повесить его в политику логон и писать файлы

(14) сабж так понимаю о постфактуме

(15) тогда можно программно, через ADO, только писать придется...

В компании завелся крот - как вычислить?

Этот скрипт у меня стоит на вход на терминальный сервер, пишет в базу MSSQL, потом удобно искать, анализировать.

[CODE]
set wshNetwork = WScript.CreateObject( "WScript.Network")
Set wshShell = WScript.CreateObject("WScript.Shell")

do while wshNetwork.username = ""
WScript.Sleep 250
loop

user = wshNetwork.username
server = wshNetwork.computername



Set WshShell = WScript.CreateObject ("WScript.Shell")
Set RegularExpressionObject = New RegExp
ip_address = subGetTSIP1()
mac_address = subGetMAC (ip_address)


Set mConnection = CreateObject("ADODB.Connection")
mConnection.Open "Provider=SQLOLEDB.1;Data Source="имя базы";Initial Catalog=pass","логин","пороль"

mConnection.Execute "INSERT INTO [pass].[dbo].[entry_point] ([entry_data],[server],[ip_address],[mac_address],[user_name])    VALUES  (GETDATE(), '"&server&"','"&ip_address&"','"&mac_address&"','"&user&"') "

Set mConnection = Nothing



'wscript.echo "Client:"&WshShell.ExpandEnvironmentStrings("%CLIENTNAME%")
'wscript.echo "ClientIP (method 1):"&subGetTSIP1()
'wscript.echo subGetMAC (subGetTSIP1())


wscript.quit

Function subGetTSIP1()
     strCmd ="C:\!!!\script\gettscip\GETTSCIP.exe"
     Set objExec = WshShell.Exec(strCmd)
     arrExec = Split(objExec.StdOut.ReadAll, ": ")
     subGetTSIP1 = arrExec(1)
End Function

Function subGetMAC(IPAddress)
     strCmd ="%systemroot%\system32\arp.exe -a "&IPAddress
     Set objExec = WshShell.Exec(strCmd)
     sOutput=objExec.StdOut.ReadAll

     Set myRegExp = New RegExp
     myRegExp.IgnoreCase = True
     myRegExp.Global = True
     myRegExp.Pattern = "(.[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}\s)"
     Set myMatches = myRegExp.Execute(sOutput)
     if myMatches.count>0 then
        subGetMAC=myMatches(0).value
     else
        subGetMAC="00-00-00-00-00-00"
     end if
    myRegExp=null
End Function

[/CODE]

(18) оооо! да в нем много интересного, пароли, логины!.. это очень "безопасно"...

(11) По всем машинам? Еженедельно?

(10)Там есть текущий пользователь.Соответственно когда кто-то войдет в систему сработает нетлогон и создастся файл в котором будет имя пользователя,лишнее нужно просто убрать.

(20) тогда да, нужна логосмотрелка
наверное в каком нибудь МОМ от мс есть