W dniu 2015-02-17 o 17:04, BQB pisze:
W dniu 2015-02-17 o 13:13, Adam pisze:
Witajcie.
Windows Server 2008 (nie R2).
Ludki logują się przez Remote Desktop, jest jakaś paczka licencji Per
User.
Potrzebuję znać:
- login, pod którym ktoś próbuje się zalogować
- czas logowania
- IP logującego
oraz ewentualnie:
- powód odrzucenia loginu (jeśli nieznany user, błędne hasło, wyczerpane
licencje RD)
- czas wylogowania
Jak to uzyskać?
Jakiś zewnętrzny program, czy może da się wyłuskać z logów systemowych?
Nie wiem, jak w 2008, ale w 2003 w logach było to dostępne, więc pewnie
i w 2008 jest. I jest akurat wszystko co potrzebujesz, nie pamiętam, jak
jest uwzględniany powód odrzucenia ale jakoś napewno jest.
Struktura logów w 2003 i w 2008 to trochę inne światy.
Jak to wyłuskać np. za pomocą PowerShell?
Coś jak np:
get-winevent -filterhashtable @{logname='security';id=4625}
|%{([regex]"Adres.*:\s(.*)").matches($_.message)[0].groups[1].value}|
group-object
Oczywiście polecenie można rozbudować o filtry sort, select czy jakiś
licznik.
Widział gdzieś ktoś dobry (w sensie: technicznie dogłębny) opis get
winevent?
Albo jakiś zewnętrzny program?
Albo jakiś interfejs wysyłający dane choćby do Kiwi Sysloga?
--
Pozdrawiam.
Adam
|