Abmelden/Remote Desktop in Ereignisprotokoll Filtern

[d3luxee 10]

Hallo,

 

Ich möchte die Remote Logons/Logouts loggen, ich habe mich auch schon bei Google informiert, die Logins habe ich auch schon im Ereignisprotokoll gefunden und in eine Benutzerdefinierte Ansicht gefiltert. Die Logouts allerdings kann ich nicht richtig Filtern, ich habe die Ereignis-ID 4634 genutzt und überwachung erfolgreich/gescheitert. Allerdings kann ich nicht den LogonType Filtern. Kennt ihr eine Möglichkeit den LogonType in den Filter mit einfliesen zu lassen?

[Dr.Melzer 191]

Magst du uns noch erzählen was du damit erreichen willst, beziehungsweise warum du das loggen willst.

[d3luxee 10]

Zu jedem Login gehört logischerweiße auch ein Logout und ich möchte nur der Vollständigkeit halber beides loggen, so kann ich beispielsweiße im falle eines unrechmäßigen zugriffs schneller nachvollziehen ob dieser viel Zeit hatte das System zu manipulieren. Außerdem möchte ich ein Vollständiges Logging und nicht nur 50%

 

Danke für deine Antwort.

[iDiddi 27]

Hallo d2luxee,

 

verstehe zwar nicht ganz, warum das nicht gehen sollte, hab's allerdings auch nicht ausprobiert. Kannst Dir aber mal EventCombMT anschauen:

 

MSXFAQ.DE - EventCombMT

 

Und ja: Das funktioniert auch unter Win2k8:

 

Managing account lockouts with Windows Server 2008

[schizophrenchen 10]

Idee:

 

- 3rd Party Event Log Viewer

- Snare als Syslog Forwarder und in den Syslogs mit Linux grep filtern

- XML / xPath basierte, benutzer definierte Ansichten (über xPath solltest du Zugriff auf das Type Feld haben)

 

Leider bin ich kein XML Profi, aber als Denkanstoß hilft es vielleicht...

 

Gruß,

Schizo