Логирование терминального доступа
Добрый день. Есть такой вопрос: Возникла необходимость сбора данных о пользователях Терминального сервера. такие как время входа выхода, время простоя и активности. Нет ли у кого нить идей как это организовать? Терминальный сервер организован на Win 2008 R2.
|
Ну время входа и выхода легко. Что подразумевается под временем простоя и активности? Если просто сколько (по времени) была запущена та или иная программа, то вроде стандартными средствами делается. Если что-то побольше то только сторонние средства.. типа: стахановец, lanagent и тп.
|
А не могли бы вы поподробнее бьяснить как стандартными средствами? Ну или ссыль дать.
|
Ребят, помогите разобраться? Вот такие логи сервака!
Ошибка 22.08.2012 16:35:09 Service Control Manager 7011 Отсутствует "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы ""UmRdpService""."
Ошибка 22.08.2012 16:34:39 Service Control Manager 7011 Отсутствует "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы ""Netman""."
Ошибка 22.08.2012 16:34:09 Service Control Manager 7011 Отсутствует "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы ""hidserv""."
Ошибка 22.08.2012 16:33:39 Service Control Manager 7011 Отсутствует "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы ""AudioEndpointBuilder""."
Ошибка 22.08.2012 16:33:09 Service Control Manager 7011 Отсутствует "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы ""UxSms""."
Висят эти ошибки и всё
Windows Server 2008 R2
|
Цитата:
Цитата bad-us
А не могли бы вы поподробнее бьяснить как стандартными средствами? »
|
как и говорил
Цитата:
Цитата Molchune
время входа и выхода легко »
|
Например вот так вот(для ENG версии Windows):
читать дальше »
Код:
$TSLog = Get-EventLog security -message "*Logon Type:???10*" -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10)) -InstanceId 4624
$TSData = New-Object System.Management.Automation.PSObject
$TSData | Add-Member NoteProperty logon ($null)
$TSData | Add-Member NoteProperty UserName ($null)
$TSData | Add-Member NoteProperty IP ($null)
$TSData | Add-Member NoteProperty ID ($null)
$TSData | Add-Member NoteProperty logoff ($null)
$TSLog | %{
$TSData.logon = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$TSData.IP = ($message | ?{$_ -like "Source Network Address:*"} | %{$_ -replace "^.+`t *"})
$TSData.UserName = ($message | ?{$_ -like "Security ID:*" -and $_ -notlike "*S-1-5-18*"} | %{$_ -replace "^.+`t *"})
$SIDToName = new-object security.principal.securityidentifier $TSData.UserName
$TSData.UserName = $SIDToName.translate([security.principal.ntaccount])
$TSData.ID = ($message | ?{$_ -like "Logon ID:*" -and $_ -notlike "*0x3e7*"} | %{$_ -replace "^.+`t *"})
$TSData.logoff = (Get-EventLog security -message ("*"+$TSData.ID+"*") -after (Get-date -hour 0 -minute 0 -second 0) -InstanceId 4634 | Select-Object TimeGenerated).TimeGenerated
$TSData } | Out-GridView
Для RUS версии Windows:
читать дальше »
Код:
$TSLog = Get-EventLog security -message "*Тип входа:???10*" -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10)) -InstanceId 4624
$TSData = New-Object System.Management.Automation.PSObject
$TSData | Add-Member NoteProperty logon ($null)
$TSData | Add-Member NoteProperty UserName ($null)
$TSData | Add-Member NoteProperty IP ($null)
$TSData | Add-Member NoteProperty ID ($null)
$TSData | Add-Member NoteProperty logoff ($null)
$TSLog | %{
$TSData.logon = $_.TimeGenerated; $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$TSData.IP = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+`t *"})
$TSData.UserName = ($message | ?{$_ -like "ИД безопасности:*" -and $_ -notlike "*S-1-5-18*"} | %{$_ -replace "^.+`t *"})
$SIDToName = new-object security.principal.securityidentifier $TSData.UserName
$TSData.UserName = $SIDToName.translate([security.principal.ntaccount])
$TSData.ID = ($message | ?{$_ -like "Код входа:*" -and $_ -notlike "*0x3e7*"} | %{$_ -replace "^.+`t *"})
$TSData.logoff = (Get-EventLog security -message ("*"+$TSData.ID+"*") -after ((Get-date -hour 0 -minute 0 -second 0).adddays(-10)) -InstanceId 4634 | Select-Object TimeGenerated).TimeGenerated
$TSData } | Out-GridView
Коды событий.
4624 - Успешно произведен вход в аккаунт.
4634 - Произведен выход из аккаунта.
4647 - Пользователь инициировал выход из системы.
А для отслеживания запуска программ включаем логи на сервере. Ну и действуем по такой же схеме. |
Время: 06:25.
© OSzone.net 2001-
