Remove From My Forums

création d'un journal personnel (Observateur d’événements)

Question
2

Connectez-vous pour voter
Bonjour à tous,

je voudrais créer un journal personnel dans l'observateur d'évènement

pour observer certaines actions sur le serveur de domaine comme:

- Erreur de connexion plus message d'erreur;

- Audite d'utilisation des ressources partagées (Date et heure de connexion et déconnexion);

j'ai suivie un tuto qui m'a permis de créer le journal mais comment faire pour ecrire les évènement dans se journal?

voici le code

new-eventLog -LogName JournalConnexion -source Utilisateurs write-EventLog -Logname JournalConnexion -source Utilisateurs -IventId 12 -Message "Utilisateur connecté"

merci
mardi 9 mai 2017 16:33

Réponse

|

Citation

Réponses

3

Connectez-vous pour voter
Bonjour

créer un journal d'événement est surtout utile lorsque l'on veut gérer les messages de ses propres applications !

Dans un premier temps, la première approche serait de créer une vue ou un filtre sur les événements souhaités...

Une autre solution pourrait d'être d'utiliser la centralisation de certains événements :

https://technet.microsoft.com/fr-fr/library/cc748890(v=ws.11).aspx

Cela permet aussi de gérer plusieurs machines/serveurs... sur un seul journal.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Proposé comme réponse Thameur BOURBITAMVP, Moderator jeudi 11 mai 2017 23:01
- Marqué comme réponse Teodora Sharkova vendredi 2 juin 2017 15:27
mercredi 10 mai 2017 06:12

Réponse

|

Citation
1

Connectez-vous pour voter
Pour les shares voici un peu de lecture :

https://blogs.technet.microsoft.com/mspfe/2013/08/26/auditing-file-access-on-file-servers/

De mémoire on active l'audit via GPO puis ensuite sur les shares que l'on souhaite auditer on le signale. Inutile d'auditer tous les shares si vous ne suivez pas les accés derrière. Quand on met un audit en place, on audit ce qu'on va surveiller sinon on est noyé dans les informations et l'audit perd tout son sens.

Au niveau des connexions, vous pouvez auditer différentes choses, voici une documentation générale

https://technet.microsoft.com/fr-fr/library/dd772712(v=ws.10).aspx

Les erreurs de logon seront l'évènement 4771

https://technet.microsoft.com/fr-fr/library/dd772702(v=ws.10).aspx

Pour l'audit des connexion, il suffit juste de paramétrer la GPO.

Dans les 2 cas, l'audit se passe dans la partie sécurité des journaux d'évènements et est propre à chaque DC.

Il peut donc être judicieux de centraliser les journaux sur un poste de travail ou serveur via un abonnement. C'est une des idées proposé par thierry.

Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.
- Modifié matteu31400 mercredi 10 mai 2017 14:30
- Marqué comme réponse Teodora Sharkova vendredi 2 juin 2017 15:27
mercredi 10 mai 2017 14:29

Réponse

|

Citation

Toutes les réponses

2

Connectez-vous pour voter
Bonjour,

Si jamais vous souhaitez créer à la main un espèce de report via le journal d'évènements je vous souhaite bien du courage !

J'avais mis ça en place via l'aide de plusieurs personnes ici, et la solution n'était que très peu exploitable.

Je vous recommande vraiment l'utilisation de produits tiers spécialisé la dedans tel que netwrix par exemple qui même si ce n'est pas gratuit, fait plutot bien le travail et vous permettra d'auditer plus que ces 2 points.

https://www.netwrix.com/

Maintenant si jamais vous souhaitez mettre un peu les mains dans le camboui, vous pouvez vous aider de ça :

https://blogs.technet.microsoft.com/heyscriptingguy/2013/06/20/how-to-use-powershell-to-write-to-event-logs/

Après je pense que je comprends peut être mal le besoin parce que ce que vous souhaitez réaliser est déjà possible via les solutions intégrées à microsoft. Il est possible d'auditer l'accès aux partages tout comme il est possible d'auditer les erreur de connexion (faux mot de passe).

Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.
- Modifié matteu31400 mercredi 10 mai 2017 06:52
mardi 9 mai 2017 18:16

Réponse

|

Citation
3

Connectez-vous pour voter
Bonjour

créer un journal d'événement est surtout utile lorsque l'on veut gérer les messages de ses propres applications !

Dans un premier temps, la première approche serait de créer une vue ou un filtre sur les événements souhaités...

Une autre solution pourrait d'être d'utiliser la centralisation de certains événements :

https://technet.microsoft.com/fr-fr/library/cc748890(v=ws.11).aspx

Cela permet aussi de gérer plusieurs machines/serveurs... sur un seul journal.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Proposé comme réponse Thameur BOURBITAMVP, Moderator jeudi 11 mai 2017 23:01
- Marqué comme réponse Teodora Sharkova vendredi 2 juin 2017 15:27
mercredi 10 mai 2017 06:12

Réponse

|

Citation
1

Connectez-vous pour voter

"Après je pense que je comprends peut être mal le besoin parce que ce que vous souhaitez réaliser est déjà possible via les solutions intégrées à microsoft. Il est possible d'auditer l'accès aux partages tout comme il est possible d'auditer les erreur de connexion (faux mot de passe)."

Merci pour votre aide, pouvez-vous me donner la démarche à suivre quant à utiliser les outils intégré de windows?

Merci

mercredi 10 mai 2017 14:12

Réponse

|

Citation
1

Connectez-vous pour voter
Pour les shares voici un peu de lecture :

https://blogs.technet.microsoft.com/mspfe/2013/08/26/auditing-file-access-on-file-servers/

De mémoire on active l'audit via GPO puis ensuite sur les shares que l'on souhaite auditer on le signale. Inutile d'auditer tous les shares si vous ne suivez pas les accés derrière. Quand on met un audit en place, on audit ce qu'on va surveiller sinon on est noyé dans les informations et l'audit perd tout son sens.

Au niveau des connexions, vous pouvez auditer différentes choses, voici une documentation générale

https://technet.microsoft.com/fr-fr/library/dd772712(v=ws.10).aspx

Les erreurs de logon seront l'évènement 4771

https://technet.microsoft.com/fr-fr/library/dd772702(v=ws.10).aspx

Pour l'audit des connexion, il suffit juste de paramétrer la GPO.

Dans les 2 cas, l'audit se passe dans la partie sécurité des journaux d'évènements et est propre à chaque DC.

Il peut donc être judicieux de centraliser les journaux sur un poste de travail ou serveur via un abonnement. C'est une des idées proposé par thierry.

Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.
- Modifié matteu31400 mercredi 10 mai 2017 14:30
- Marqué comme réponse Teodora Sharkova vendredi 2 juin 2017 15:27
mercredi 10 mai 2017 14:29

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

création d'un journal personnel (Observateur d’événements)

Question

Réponses

Toutes les réponses