[решено] Аудит входа в систему и импорт событий из журнала безопасности

SkyF · Отправлено: **13:16, 28-07-2005** | #2

Hardman
Здравствуйте. Вливайтесь в наш коллектив!

журнал безопасности конечно ведется, вопрос для вас открыт как мне кажется в другом - кто им управляет? Управляет им оснастка Event Viewer (Start -administrative tools), либо из консоли eventvwr.msc. В ней представлены все журналы операционной системы. Через контекстное меню имеется возможность просматривать их свойства и выполнять их очистку и сохранение в различных форматах (внутреннем, текстовом и запятыми и табуляцией). Думаю что-то вам должно подойти.

Цитата:

1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)

есть стандартные команды для работы с журналами (Windows 2003 я имею в виду

Eventcreate
Eventquery
Eventtriggers
Evntcmd

Попробуйте Eventquery в режиме батника по расписанию:

Код:

eventquery /l system > %date%.txt

Цитата:

2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???

Конечно на сайте Microsoft.com нужно искать:
К примеру есть спец ресурс: windows server 2003 Events and Errors
вводите номер события и вперед..
по вашему вопросу - сразу можно уже сюда. информация открыта и доступна:
Security 528
, а далее смотритя в связных статьях или выполняйте новый поиск.

Цитата:

3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???

не вопрос. ответы положительные и справка ОС по eventquery, выдает возможные фильтры:

Код:

/fi FilterName 
Specifies the types of events to include in or exclude from the query. 

Datetime eq, ne, ge, le, gt, lt mm/dd/yy(yyyy), hh:mm:ssAM(/PM) 
Type     eq, ne       {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT} 
ID     eq, ne, ge, le, gt, lt  
User     eq, ne 
Computer     eq, ne 
Source      eq, ne  
Category     eq, ne

Fighter · Отправлено: **14:35, 28-07-2005** | #3

интересный вопрос

1. как уже сказал SkyF с помощью вышеуказ. команд
напр. в таком варианте:

Код:

CSCRIPT %SYSTEMROOT%\system32\eventquery.vbs /fi "ID eq 538" /v /l security >result.txt

/v - расшир. вид журнала

2. Security 538

второй вариант, evntwin.exe
кста. события там можно расшифровывать
ну это пока предположение, будем думать

Hardman · Отправлено: **19:40, 28-07-2005** | #4

Доброго времени суток...
Уважаемые SkyF и Fighter, прошу прощения, я совсем не сказал что я работаю с 2000 про...
Соответсвенно ни скриптов ни программ там нету... =(((
Если же самому попробывать экспортировать из 2003 или сделать VBS-ничек, то 2000 не подхватывает...
Надеюсь на Ваше понимание, и помощь...
Nameon Hardman...

Fighter · Отправлено: **09:09, 29-07-2005** | #5

что говорит по этому поводу M$:
How to use the Event Query Script tool (Eventquery.pl) in Microsoft Windows 2000
How to use the Event Log Query tool (Elogdmp.exe) to display Event Log information in Windows 2000
How to use the Event Log Management Script tool (Eventlog.pl) to manage event logs in Windows 2000
Eventquery.vbs

Цитата:

Чтобы выполнить данный сценарий, необходимо запустить CScript. Если программа CScript не является используемым по умолчанию сервером сценариев Windows, введите следующую команду:
cscript //h:cscript //s //nologo

Hardman · Отправлено: **13:13, 29-07-2005** | #6

Доброго времени суток...
Уважаемый Fighter, "C:\WINNT\system32\eventquery.vbs(1, 1) Ошибка компиляции Microsoft vbscript: Предполагается наличие инструкции"...
Что я сделал не так???

Господа, прошу у Вас прощения, я знаю что это мои проблемы, но я совсем не дружу с английским...
=(((
Пли-и-иззз помогите...

Fighter · Отправлено: **13:35, 29-07-2005** | #7

предпоследняя фраза по-моему лишняя

здесь вряд ли можно сказать что либо однозначно,
нюансов много может быть
запускаете так?

Код:

CSCRIPT C:\WINNT\system32\eventquery.vbs /параметры

Fighter · Отправлено: **10:56, 01-08-2005** | #8

Цитата:

Log Parser 2.2
Overview
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system, and Active Directory®. You tell Log Parser what information you need and how you want it processed. The results of your query can be custom-formatted in text based output, or they can be persisted to more specialty targets like SQL, SYSLOG, or a chart.

Most software is designed to accomplish a limited number of specific tasks. Log Parser is different... the number of ways it can be used is limited only by the needs and imagination of the user. The world is your database with Log Parser.

Цитата Hardman :

я совсем не дружу с английским...

translate.ru

взять можно с сайта MS:
LogParser.msi

SkyF · Отправлено: **01:59, 09-08-2005** | #9

Если есть задача получать уведомления через электронную почту о каком-либо событии (например событии безопасности определенного номера) можно поступить так:

Используя Планировщик заданий и утилиту, упоминавшуюся Hardman'ом dumpel.exe из Windows 2000 Server Resource Kit,а также бесплатную утилиту отправки почтовых сообщений Blat.

Создайте сценарий, который будет при помощи dumpel.exe экспортировать в файл события, к примеру с номером ID 644.
Далее укажите выходной файл как исходный для почтового клиента Blat и отправляйте на адрес электронной почты.
Вот пример сценария:

Код:

dumpel 
-e 664 
-l security 
-m security 
-format Idts 
-f event.txt

blat event.txt 
-t yourname@yourcompany.com 
-s "Yesterday's Account Lockouts"
-f yourname@yourcompany.com 
-i someserver 
-server smtp.yourcompany.com

И в заключении, через планировщик создайте задания и задайте расписание на ежедневное выполнение.