locked
Comment analyser les logs Windows ? RRS feed

  • Question

  • Bonjour,

    Existe-il sous des outils Microsoft pour l'analyse avancés des logs de windows servers ?

    Récapitulatif des personnes qui on ouvert une session etc...

    Après plusieurs recherche je ne trouve que des logiciels tiers.

    Il tres étonnant que microsoft ne fournisse pas une telle solution ?

    codialement,

     


    Un MCSE un peu perdu...
    mardi 17 août 2010 14:41

Réponses

Toutes les réponses

  • Bonjour,

    non en effet Microsoft ne propose pas d'outil de la sorte à ma connaissance. D'ailleurs hormis pour les sites web, où il est intéressant de sortir des statistiques, pour un infrastructure d'entreprise je sais pas si cela est aussi pertinent que la réalisation d'audit.

    En général des produits d'analyse sont pour des infrastructures étendues et hétérogènes nécessitant la centralisation et la gestion des évènements afin de permettre une meilleure réactivité. Rarement pour sortir des statistiques.

     

    mardi 17 août 2010 17:13
  • Je m'excuse je me suis fait mal comprendre,

    je parlais bien d'outils d'audit mais à la lecture plus simple que l'observateur d'evenements/ journal securité.

    Le journal est indigeste, et il est dur de répondre à une question simple par exemple : qui c'est connecter au réseaux de 14h à 20H.

    Après quelques recherches, MOM permet cela sous windows 2003 ? 

     

     


    Un MCSE un peu perdu...
    mardi 17 août 2010 17:38
  • Bonsoir,

    Pour "décoder" les événements de sécurité, le site de Randy Franklin Smith offre une approche assez complète: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx

    Comme le signale Bechir dans un autre poste (http://social.technet.microsoft.com/Forums/fr-FR/1092/thread/a321388e-4ee9-40e6-b567-e127d3cf9409), le composant "Audit Collection Service" de SCOM 2007 permet de consolider les événement et d'en tirer des rapports, voir http://technet.microsoft.com/en-us/library/bb381373.aspx.

    Enfin, il reste l'option "couteau suisse" LogParser (http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en), qui demandera pas mal d'effort de recherche mais qui a l'avantage d'être gratuit et extrêment flexible. Si vous optez pour cet outil, le livre "Log Parser Toolkit" vous sera d'une grande aide.


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    mardi 17 août 2010 20:50
  • Bonjour à tous,

    Ce petit post afin d'en rajouter un à la liste des outils donnée par Marc. On peut donc aussi chercher du côté de EventCombMT, disponible dans la suite MS Account Lockout and Management Tools .

    Grossièrement, on peut le considérer comme un moteur de recherche d'évènements qui permet en GUI de requêter en multithreads sur une partie ou tous les DC du domaine afin d'en extraire certaines informations. Des recherches prédéfinies sont disponibles et de nombreuses options sont disponibles quand à l'affichage, la résolution de hostnames, le format de sortie etc...

    Cordialement,


    Jonathan BISMUTH Bis IT MVP Windows Server - Directory Services http://www.bis-it.fr / http://blog.portail-mcse.net
    mercredi 18 août 2010 08:53