Hardman
Здравствуйте. Вливайтесь в наш коллектив!
журнал безопасности конечно ведется, вопрос для вас открыт как мне кажется в другом - кто им управляет? Управляет им оснастка Event Viewer (Start -administrative tools), либо из консоли
eventvwr.msc. В ней представлены все журналы операционной системы. Через контекстное меню имеется возможность просматривать их свойства и выполнять их очистку и сохранение в различных форматах (внутреннем, текстовом и запятыми и табуляцией). Думаю что-то вам должно подойти.
Цитата:
|
1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)
|
есть стандартные команды для работы с журналами (Windows 2003 я имею в виду
Eventcreate
Eventquery
Eventtriggers
Evntcmd
Попробуйте Eventquery в режиме батника по расписанию:
Код:
eventquery /l system > %date%.txt
Цитата:
|
2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???
|
Конечно на сайте Microsoft.com нужно искать:
К примеру есть спец ресурс:
windows server 2003 Events and Errors
вводите номер события и вперед..
по вашему вопросу - сразу можно уже сюда. информация открыта и доступна:
Security 528
, а далее смотритя в связных статьях или выполняйте новый поиск.
Цитата:
|
3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???
|
не вопрос. ответы положительные и справка ОС по eventquery, выдает возможные фильтры:
Код:
/fi FilterName
Specifies the types of events to include in or exclude from the query.
Datetime eq, ne, ge, le, gt, lt mm/dd/yy(yyyy), hh:mm:ssAM(/PM)
Type eq, ne {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT}
ID eq, ne, ge, le, gt, lt
User eq, ne
Computer eq, ne
Source eq, ne
Category eq, ne
