[SkyF]

Hardman
Здравствуйте. Вливайтесь в наш коллектив!

журнал безопасности конечно ведется, вопрос для вас открыт как мне кажется в другом - кто им управляет? Управляет им оснастка Event Viewer (Start -administrative tools), либо из консоли eventvwr.msc. В ней представлены все журналы операционной системы. Через контекстное меню имеется возможность просматривать их свойства и выполнять их очистку и сохранение в различных форматах (внутреннем, текстовом и запятыми и табуляцией). Думаю что-то вам должно подойти.

Цитата:

1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)

есть стандартные команды для работы с журналами (Windows 2003 я имею в виду

Eventcreate
Eventquery
Eventtriggers
Evntcmd

Попробуйте Eventquery в режиме батника по расписанию:

Код:

eventquery /l system > %date%.txt

Цитата:

2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???

Конечно на сайте Microsoft.com нужно искать:
К примеру есть спец ресурс: windows server 2003 Events and Errors
вводите номер события и вперед..
по вашему вопросу - сразу можно уже сюда. информация открыта и доступна:
Security 528
, а далее смотритя в связных статьях или выполняйте новый поиск.

Цитата:

3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???

не вопрос. ответы положительные и справка ОС по eventquery, выдает возможные фильтры:

Код:

/fi FilterName 
Specifies the types of events to include in or exclude from the query. 

Datetime eq, ne, ge, le, gt, lt mm/dd/yy(yyyy), hh:mm:ssAM(/PM) 
Type     eq, ne       {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT} 
ID     eq, ne, ge, le, gt, lt  
User     eq, ne 
Computer     eq, ne 
Source      eq, ne  
Category     eq, ne