Имя: Пароль:
IT
Админ
Логи Windows - как собрать информацию?
0 ДенисЧ
 
14.06.12
14:08
Есть сетка под виндой (домен, winXP)

Есть куча доменных пользователей. Нужно получить информацию о том, когда куда и какой пользователь логинился на машины из домена. В логах винды такая инфа вроде есть.
Существуют ли готовые инструменты для такого рода занятий?
1 andrewks
 
14.06.12
14:53
это разово? сохранить в csv и проанализировать
2 Lionee
 
14.06.12
15:05
интересно однако
3 ДенисЧ
 
14.06.12
15:09
(1) Нет, регулярно. Еженедельно и ежемесячно.
Руками собирать - зае****ся. 60 машин, 90 пользователей...
4 andrewks
 
14.06.12
15:11
5 andrewks
 
14.06.12
15:11
6 ДенисЧ
 
14.06.12
15:24
(4)(5)
я понимаю, что руками написать можно многое. Но на писанину времени нет вообще...
7 smaharbA
 
15.06.12
07:31
а какой нибудь эверест не способен ?
8 БалбесВ1с
 
15.06.12
08:06
(0)WMI скрипт в нетлогон поставь.
9 БалбесВ1с
 
15.06.12
08:07
10 ДенисЧ
 
15.06.12
08:10
(9)
"Подготовка отчета о количестве, размещении и составе системных блоков для бухгалтерии. Информацию о других основных средствах (мониторах, ИБП, принтерах и т.п.) придется собирать другими способами.
Отслеживание изменений в конфигурации компьютеров, в том числе — выявление случаев самовольной замены комплектующих.
Поиск, отбор и подсчет компьютеров с заданными характеристиками при планировании закупок или при решении каких-либо технических вопросов."

И где тут сведения о логонах?
(8) Надо постфактум собрать...
11 smaharbA
 
15.06.12
08:14
(10) а просто отфильтровать журнал по событиям и экспортировать в текст ?
12 smaharbA
 
15.06.12
08:17
типа Аудит успеха и код 540 ?
13 smaharbA
 
15.06.12
08:17
если конечно точно аудит был включен
14 vde69
 
15.06.12
08:19
3 дня назад занимался

проблеммы
1. csv - получаем разный (зависит от операционки)
2. csv - очень плохо парсится даже для одной машины (причины - блоки для разных событий имеют разный формат)

ихмо самое правильно сделать скрипт повесить его в политику логон и писать файлы
15 smaharbA
 
15.06.12
08:19
(14) сабж так понимаю о постфактуме
16 vde69
 
15.06.12
08:21
(15) тогда можно программно, через ADO, только писать придется...
17 vde69
 
15.06.12
08:22
18 ATI
 
15.06.12
08:28
Этот скрипт у меня стоит на вход на терминальный сервер, пишет в базу MSSQL, потом удобно искать, анализировать.

[CODE]
set wshNetwork = WScript.CreateObject( "WScript.Network")
Set wshShell = WScript.CreateObject("WScript.Shell")

do while wshNetwork.username = ""
WScript.Sleep 250
loop

user = wshNetwork.username
server = wshNetwork.computername



Set WshShell = WScript.CreateObject ("WScript.Shell")
Set RegularExpressionObject = New RegExp
ip_address = subGetTSIP1()
mac_address = subGetMAC (ip_address)


Set mConnection = CreateObject("ADODB.Connection")
mConnection.Open "Provider=SQLOLEDB.1;Data Source="имя базы";Initial Catalog=pass","логин","пороль"

mConnection.Execute "INSERT INTO [pass].[dbo].[entry_point] ([entry_data],[server],[ip_address],[mac_address],[user_name])    VALUES  (GETDATE(), '"&server&"','"&ip_address&"','"&mac_address&"','"&user&"') "

Set mConnection = Nothing



'wscript.echo "Client:"&WshShell.ExpandEnvironmentStrings("%CLIENTNAME%")
'wscript.echo "ClientIP (method 1):"&subGetTSIP1()
'wscript.echo subGetMAC (subGetTSIP1())


wscript.quit

Function subGetTSIP1()
     strCmd ="C:\!!!\script\gettscip\GETTSCIP.exe"
     Set objExec = WshShell.Exec(strCmd)
     arrExec = Split(objExec.StdOut.ReadAll, ": ")
     subGetTSIP1 = arrExec(1)
End Function

Function subGetMAC(IPAddress)
     strCmd ="%systemroot%\system32\arp.exe -a "&IPAddress
     Set objExec = WshShell.Exec(strCmd)
     sOutput=objExec.StdOut.ReadAll

     Set myRegExp = New RegExp
     myRegExp.IgnoreCase = True
     myRegExp.Global = True
     myRegExp.Pattern = "(.[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}\s)"
     Set myMatches = myRegExp.Execute(sOutput)
     if myMatches.count>0 then
        subGetMAC=myMatches(0).value
     else
        subGetMAC="00-00-00-00-00-00"
     end if
    myRegExp=null
End Function

[/CODE]
19 organizm
 
15.06.12
08:32
(18) оооо! да в нем много интересного, пароли, логины!.. это очень "безопасно"...
20 ДенисЧ
 
15.06.12
08:49
(11) По всем машинам? Еженедельно?
21 БалбесВ1с
 
15.06.12
08:49
(10)Там есть текущий пользователь.Соответственно когда кто-то войдет в систему сработает нетлогон и создастся файл в котором будет имя пользователя,лишнее нужно просто убрать.
22 smaharbA
 
15.06.12
15:50
(20) тогда да, нужна логосмотрелка
наверное в каком нибудь МОМ от мс есть
Пользователь не знает, чего он хочет, пока не увидит то, что он получил. Эдвард Йодан