OK, mal zur Auflösung/Korrektur.
Auf dem Server läuft eine Datenbank, der Hersteller/Software-Lieferant verlangt zZt den Windows-Server 2016,
kein AD, Clients/Benutzer kommen icht aus lokalen Netz, also kein AD. Die Benutzer kommen aus dem Internet über ein VPN auf den Server bzw auf die Datenbank und haben teilweise ihre eigenen Strukturen oder sogar Standalone,
und wir wollen wissen, wer angemeldet ist und es in den letzten Tagen war.
Die netsh-Lösung sieht auf den ersten Blick gut aus, müsste aber nach den Windows-Updates und einem Rechnerneustart,
jedesmal von Hand neu gestartetn werden. Wäre die etl-Datei begrenzt? Ich vermute nicht., Dann wäre irgendwann die Rechnerplatte voll.
Zudem müsste man jedesmal über die Ereignisanzeige die etl-Datei öffnen. Etwas umständlich.
Ich schau mal, was es mit den 'advanced audit policies' auf sich hat, werde aber auch noch mal das
'NetEventPacketCapture' genauer in Augenschein nehmen. Ich hab da einige vielversprechende Links gefunden.
MfG