heysa 10 Geschrieben 7. Mai 2007 Melden Geschrieben 7. Mai 2007 ich gehe mal davon aus, dass jede benutzeranmeldung egal ob an der console oder am terminal, egal ob erfolgreich oder nicht, im Event-Log protokolliert wird. ich möchte nun eine auswertung erschaffen, ohne in der ereignisanzeige wühlen zu müssen. meine frage ist nun: kann man eine solche auswertung mit einem script veranlassen, welches dann bspw. eine txt datei generiert worin dann alle benutzeranmeldungen mit zeitstempel stehen? habe schon mal von einem eventquery.vbs gelesen, aber dies lief unendlich langsam und lähmte den server währenddessen extrem. habe auch schon mal von 3.anbietersoftware gelesen, welche ich aber doch für den zweck recht teuer finde. wenn mir jemand helfen kann, wäre ich sehr dankbar.. gruß, heysa
blub 115 Geschrieben 7. Mai 2007 Melden Geschrieben 7. Mai 2007 der logparser ist dafür sehr gut geeignet. Schau mal hier http://www.mcseboard.de/government-53/administrator-account-absichern-2-109379.html#post675834 cu blub
heysa 10 Geschrieben 7. Mai 2007 Autor Melden Geschrieben 7. Mai 2007 cool danke... ich denke das scheint der richtige ansatz zu sein.... werde mich mal schlau probieren
heysa 10 Geschrieben 7. Mai 2007 Autor Melden Geschrieben 7. Mai 2007 ja genau das richtige.... LogParser ist zwar sehr mächtig, also brauch ich noch Zeit die Bedienung voll zu hacken und somit mein Ziel zu erreichen.... aber genau sowas brauchte ich DANKE DANKE :-)
heysa 10 Geschrieben 7. Mai 2007 Autor Melden Geschrieben 7. Mai 2007 Wie gesagt wollte ich die erfolgreichen Anmeldungen auswerten und eventuell noch die Abmeldungen zum errechnen der Logon Zeit. Habe nach langem googlen und probieren festgestellt, dass... ...ID 528 für Anmeldungen... ...ID 551 für Abmeldungen... ...zu sein scheint... bei versuchen auf einem produktiv server bekomm ich aber noch ausgaben über logins die definitiv nicht an console oder terminal sein können sondern nur als batch Frage also nochmal: Welche Events genau zeigen eine Anmeldung bzw. Abmeldung über Console bzw. Terminal an? wenns jemand weiss, wär super... danke im voraus gruß, heysa
blub 115 Geschrieben 7. Mai 2007 Melden Geschrieben 7. Mai 2007 538 ist logoff, 540 logon Lange hast aber nicht gegoogelt ;) http://technet2.microsoft.com/WindowsServer/en/library/e104c96f-e243-41c5-aaea-d046555a079d1033.mspx cu blub
heysa 10 Geschrieben 7. Mai 2007 Autor Melden Geschrieben 7. Mai 2007 gegoogled hab ich schon, dadurch kam ich ja auf die 528 allerdings hat mir 540 nicht so gefallen..... da kamen viel zu viele ergebnisse der link war trotzdem schonmal ganz hilfreich... folgendes habe ich zur auswetung ausgeführt: LogParser -i:EVT "SELECT TimeGenerated AS Date, EXTR ACT_TOKEN(Strings,0,'|') AS Account, EXTRACT_TOKEN(Strings,13,'|') AS Client INTO Report.xml FROM Security WHERE EventID = 528 AND EventType = 8" EventType = 8 steht ja für alle events wo das pwd unverschlüsselt übertragen wurde EventType = 10 soll ja für alle events stehen wo der user über remote terminal angemeldet wurde jedoch bekomme ich bei er angabe EventType = 10 keine xml datei erstellt warum?? für hilfen sehr zu dank verpflichtet.....
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden