Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Аудит входа в систему и импорт событий из журнала безопасности (http://forum.oszone.net/showthread.php?t=52111)

Hardman 28-07-2005 12:24 344108
[решено] Аудит входа в систему и импорт событий из журнала безопасности
 
Доброго времени суток господа...
У меня возникло несколько вопросов, но сначала введу в курс дела.

В "локальные параметры безопасности/локальные политики/политика аудита/аудит входа в систему" ведётся журнал в файл security.log, но он защищён системой и его не прочитать, ни копировать, ни удалить нельзя...
Благо он дублируется в SecEvent.Evt, который представлен в бинарном виде, что неудобочитаемо...
=(((
Но можно экспортировать его в текстовой файл, с разделителем либо "табуляция" либо "запятая" из "Просмотр событий/Журнал безопасности"...

А теперь вопросы:
1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)
2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???
3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???

Искренне благодарен тем кто откликнется...

Теперь немного о том зачем мне это надо:
Получил задание написать программу которая способна отслеживать сколько часов проработал сотрудник на компьютере...
Пишу на вижл бэсике...
АПИ функции сказали пока не трогать, а работать с текстовым файлом...
Текстовой файл раньше получал от программы Dumpel (dumpel.exe) из Windows 2000 Server Resource Kit...

Прошу Вас, пожалуйста, помогите...
Респект участникам форума...
Искренне Ваш Hardman.

SkyF 28-07-2005 13:16 344126
Hardman
Здравствуйте. Вливайтесь в наш коллектив!

журнал безопасности конечно ведется, вопрос для вас открыт как мне кажется в другом - кто им управляет? Управляет им оснастка Event Viewer (Start -administrative tools), либо из консоли eventvwr.msc. В ней представлены все журналы операционной системы. Через контекстное меню имеется возможность просматривать их свойства и выполнять их очистку и сохранение в различных форматах (внутреннем, текстовом и запятыми и табуляцией). Думаю что-то вам должно подойти.

Цитата:
1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)
есть стандартные команды для работы с журналами (Windows 2003 я имею в виду
Eventcreate
Eventquery
Eventtriggers
Evntcmd
Попробуйте Eventquery в режиме батника по расписанию:
Код:
eventquery /l system > %date%.txt
Цитата:
2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???
Конечно на сайте Microsoft.com нужно искать:
К примеру есть спец ресурс: windows server 2003 Events and Errors
вводите номер события и вперед..
по вашему вопросу - сразу можно уже сюда. информация открыта и доступна:
Security 528
, а далее смотритя в связных статьях или выполняйте новый поиск.
Цитата:
3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???
не вопрос. ответы положительные и справка ОС по eventquery, выдает возможные фильтры:
Код:
/fi FilterName
Specifies the types of events to include in or exclude from the query.

Datetime eq, ne, ge, le, gt, lt mm/dd/yy(yyyy), hh:mm:ssAM(/PM)
Type    eq, ne      {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT}
ID    eq, ne, ge, le, gt, lt 
User    eq, ne
Computer    eq, ne
Source      eq, ne 
Category    eq, ne

Fighter 28-07-2005 14:35 344152
интересный вопрос

1. как уже сказал SkyF с помощью вышеуказ. команд
напр. в таком варианте:
Код:
CSCRIPT %SYSTEMROOT%\system32\eventquery.vbs /fi "ID eq 538" /v /l security >result.txt
/v - расшир. вид журнала

2. Security 538

второй вариант, evntwin.exe
кста. события там можно расшифровывать
ну это пока предположение, будем думать

Hardman 28-07-2005 19:40 344227
Доброго времени суток...
Уважаемые SkyF и Fighter, прошу прощения, я совсем не сказал что я работаю с 2000 про...
Соответсвенно ни скриптов ни программ там нету... =(((
Если же самому попробывать экспортировать из 2003 или сделать VBS-ничек, то 2000 не подхватывает...
Надеюсь на Ваше понимание, и помощь...
Nameon Hardman...

Fighter 29-07-2005 09:09 344338
что говорит по этому поводу M$:
How to use the Event Query Script tool (Eventquery.pl) in Microsoft Windows 2000
How to use the Event Log Query tool (Elogdmp.exe) to display Event Log information in Windows 2000
How to use the Event Log Management Script tool (Eventlog.pl) to manage event logs in Windows 2000
Eventquery.vbs

Цитата:
Чтобы выполнить данный сценарий, необходимо запустить CScript. Если программа CScript не является используемым по умолчанию сервером сценариев Windows, введите следующую команду:
cscript //h:cscript //s //nologo


Hardman 29-07-2005 13:13 344402
Доброго времени суток...
Уважаемый Fighter, "C:\WINNT\system32\eventquery.vbs(1, 1) Ошибка компиляции Microsoft vbscript: Предполагается наличие инструкции"...
Что я сделал не так??? :(
Господа, прошу у Вас прощения, я знаю что это мои проблемы, но я совсем не дружу с английским...
=(((
Пли-и-иззз помогите...
:sorry: :sorry: :sorry:

Fighter 29-07-2005 13:35 344412
предпоследняя фраза по-моему лишняя :)
здесь вряд ли можно сказать что либо однозначно,
нюансов много может быть
запускаете так?
Код:
CSCRIPT C:\WINNT\system32\eventquery.vbs /параметры

Fighter 01-08-2005 10:56 345069
Цитата:
Log Parser 2.2
Overview
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system, and Active Directory®. You tell Log Parser what information you need and how you want it processed. The results of your query can be custom-formatted in text based output, or they can be persisted to more specialty targets like SQL, SYSLOG, or a chart.

Most software is designed to accomplish a limited number of specific tasks. Log Parser is different... the number of ways it can be used is limited only by the needs and imagination of the user. The world is your database with Log Parser.
Цитата:
Цитата Hardman
я совсем не дружу с английским...
translate.ru

взять можно с сайта MS:
LogParser.msi

SkyF 09-08-2005 01:59 346778
Если есть задача получать уведомления через электронную почту о каком-либо событии (например событии безопасности определенного номера) можно поступить так:

Используя Планировщик заданий и утилиту, упоминавшуюся Hardman'ом dumpel.exe из Windows 2000 Server Resource Kit,а также бесплатную утилиту отправки почтовых сообщений Blat.

Создайте сценарий, который будет при помощи dumpel.exe экспортировать в файл события, к примеру с номером ID 644.
Далее укажите выходной файл как исходный для почтового клиента Blat и отправляйте на адрес электронной почты.
Вот пример сценария:
Код:
dumpel
-e 664
-l security
-m security
-format Idts
-f event.txt

blat event.txt
-t yourname@yourcompany.com
-s "Yesterday's Account Lockouts"
-f yourname@yourcompany.com
-i someserver
-server smtp.yourcompany.com
И в заключении, через планировщик создайте задания и задайте расписание на ежедневное выполнение.


Время: 23:28.

Время: 23:28.
© OSzone.net 2001-