[Molchune]

Цитата bad-us:

А не могли бы вы поподробнее бьяснить как стандартными средствами?»

как и говорил

Цитата Molchune:

время входа и выхода легко »

Например вот так вот(для ENG версии Windows):

читать дальше »

Код:

$TSLog = Get-EventLog security -message "*Logon Type:???10*" -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10))   -InstanceId 4624 
$TSData = New-Object System.Management.Automation.PSObject
$TSData | Add-Member NoteProperty logon ($null)
$TSData | Add-Member NoteProperty UserName ($null)
$TSData | Add-Member NoteProperty IP ($null)
$TSData | Add-Member NoteProperty ID ($null)
$TSData | Add-Member NoteProperty logoff ($null)
$TSLog | %{
$TSData.logon = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$TSData.IP = ($message | ?{$_ -like "Source Network Address:*"} | %{$_ -replace "^.+`t *"})
$TSData.UserName = ($message | ?{$_ -like "Security ID:*" -and $_ -notlike "*S-1-5-18*"} | %{$_ -replace "^.+`t *"})
$SIDToName = new-object security.principal.securityidentifier $TSData.UserName
$TSData.UserName = $SIDToName.translate([security.principal.ntaccount])
$TSData.ID = ($message | ?{$_ -like "Logon ID:*" -and $_ -notlike "*0x3e7*"} | %{$_ -replace "^.+`t *"})
$TSData.logoff = (Get-EventLog security -message ("*"+$TSData.ID+"*") -after (Get-date -hour 0 -minute 0 -second 0) -InstanceId 4634 | Select-Object TimeGenerated).TimeGenerated
$TSData }  | Out-GridView

Для RUS версии Windows:

читать дальше »

Код:

$TSLog = Get-EventLog security -message "*Тип входа:???10*" -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10))   -InstanceId 4624 
$TSData = New-Object System.Management.Automation.PSObject
$TSData | Add-Member NoteProperty logon ($null)
$TSData | Add-Member NoteProperty UserName ($null)
$TSData | Add-Member NoteProperty IP ($null)
$TSData | Add-Member NoteProperty ID ($null)
$TSData | Add-Member NoteProperty logoff ($null)
$TSLog | %{
$TSData.logon = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$TSData.IP = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+`t *"})
$TSData.UserName = ($message | ?{$_ -like "ИД безопасности:*" -and $_ -notlike "*S-1-5-18*"} | %{$_ -replace "^.+`t *"})
$SIDToName = new-object security.principal.securityidentifier $TSData.UserName
$TSData.UserName = $SIDToName.translate([security.principal.ntaccount])
$TSData.ID = ($message | ?{$_ -like "Код входа:*" -and $_ -notlike "*0x3e7*"} | %{$_ -replace "^.+`t *"})
$TSData.logoff = (Get-EventLog security -message ("*"+$TSData.ID+"*") -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10)) -InstanceId 4634 | Select-Object TimeGenerated).TimeGenerated
$TSData } | Out-GridView

Коды событий.
4624 - Успешно произведен вход в аккаунт.
4634 - Произведен выход из аккаунта.
4647 - Пользователь инициировал выход из системы.

А для отслеживания запуска программ включаем логи на сервере. Ну и действуем по такой же схеме.