Логи Windows - как собрать информацию? #615484

Есть сетка под виндой (домен, winXP) Есть куча доменных пользователей. Нужно получить информацию о том, когда куда и какой пользователь логинился на машины из домена. В логах винды такая инфа вроде есть. Существуют ли готовые инструменты для такого рода занятий?

это разово? сохранить в csv и проанализировать

интересно однако

Нет, регулярно. Еженедельно и ежемесячно. Руками собирать - зае****ся. 60 машин, 90 пользователей...

я понимаю, что руками написать можно многое. Но на писанину времени нет вообще...

а какой нибудь эверест не способен ?

WMI скрипт в нетлогон поставь.

"Подготовка отчета о количестве, размещении и составе системных блоков для бухгалтерии. Информацию о других основных средствах (мониторах, ИБП, принтерах и т.п.) придется собирать другими способами. Отслеживание изменений в конфигурации компьютеров, в том числе — выявление случаев самовольной замены комплектующих. Поиск, отбор и подсчет компьютеров с заданными характеристиками при планировании закупок или при решении каких-либо технических вопросов." И где тут сведения о логонах? Надо постфактум собрать...

а просто отфильтровать журнал по событиям и экспортировать в текст ?

типа Аудит успеха и код 540 ?

если конечно точно аудит был включен

3 дня назад занимался проблеммы 1. csv - получаем разный (зависит от операционки) 2. csv - очень плохо парсится даже для одной машины (причины - блоки для разных событий имеют разный формат) ихмо самое правильно сделать скрипт повесить его в политику логон и писать файлы

сабж так понимаю о постфактуме

тогда можно программно, через ADO, только писать придется...

Этот скрипт у меня стоит на вход на терминальный сервер, пишет в базу MSSQL, потом удобно искать, анализировать. [CODE] set wshNetwork = WScript.CreateObject( "WScript.Network") Set wshShell = WScript.CreateObject("WScript.Shell") do while wshNetwork.username = "" WScript.Sleep 250 loop user = wshNetwork.username server = wshNetwork.computername Set WshShell = WScript.CreateObject ("WScript.Shell") Set RegularExpressionObject = New RegExp ip_address = subGetTSIP1 mac_address = subGetMAC (ip_address) Set mConnection = CreateObject("ADODB.Connection") mConnection.Open "Provider=SQLOLEDB.1;Data Source="имя базы";Initial Catalog=pass","логин","пороль" mConnection.Execute "INSERT INTO [pass].[dbo].[entry_point] ([entry_data],[server],[ip_address],[mac_address],[user_name])    VALUES  (GETDATE, '"&server&"','"&ip_address&"','"&mac_address&"','"&user&"') " Set mConnection = Nothing 'wscript.echo "Client:"&WshShell.ExpandEnvironmentStrings("%CLIENTNAME%") 'wscript.echo "ClientIP (method 1):"&subGetTSIP1 'wscript.echo subGetMAC (subGetTSIP1) wscript.quit Function subGetTSIP1      strCmd ="C:!!!scriptgettscipGETTSCIP.exe"      Set objExec = WshShell.Exec(strCmd)      arrExec = Split(objExec.StdOut.ReadAll, ": ")      subGetTSIP1 = arrExec End Function Function subGetMAC(IPAddress)      strCmd ="%systemroot%system32arp.exe -a "&IPAddress      Set objExec = WshShell.Exec(strCmd)      sOutput=objExec.StdOut.ReadAll      Set myRegExp = New RegExp      myRegExp.IgnoreCase = True      myRegExp.Global = True      myRegExp.Pattern = "(.[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}-[0-9a-f]{2}s)"      Set myMatches = myRegExp.Execute(sOutput)      if myMatches.count>0 then         subGetMAC=myMatches.value      else         subGetMAC="00-00-00-00-00-00"      end if     myRegExp=null End Function [/CODE]

оооо! да в нем много интересного, пароли, логины!.. это очень "безопасно"...

По всем машинам? Еженедельно?

Там есть текущий пользователь.Соответственно когда кто-то войдет в систему сработает нетлогон и создастся файл в котором будет имя пользователя,лишнее нужно просто убрать.

тогда да, нужна логосмотрелка наверное в каком нибудь МОМ от мс есть