none
Auditoria de Logon/Logoff RRS feed

  • Pergunta

  • Boa tarde galera, Tenho uma duvida/necessidade no SCCM e preciso do auxilio de vocês. Estou participando de um projeto onde tenho a necessidade de fazer auditoria dos logs de Logon/Logoff, sei que isso é possivel fazer utilizando a tradicional forma de auditoria pelo AD, mas para os analistas de monitoria não pratico olhar os ids de eventos e assim por diante... Por isso o que eu gostaria de saber é se o SCCM atraves de alguma query pode trazer os logs de logon/logoff dos usuarios!
    quinta-feira, 3 de setembro de 2009 17:13

Respostas

  • A auditoria eu habilitei tranquilo, agora tenho que fazer alguma alteração no arquivo sms_def.mof? Os relatorios ja aparecem no report para eu utilizar, ciquei com o direito/RUN Espero agora ele trazer os resultados? Somente isso? Hardware 3A - Primary Computer Users Hardware 3B - Computers for a Specific Primary Console User Hardware 4A - Shared (Multi-user) Computers Hardware 5A - Console Users on a Specific Computer
    quinta-feira, 3 de setembro de 2009 18:11
  • Bom dia,

    se vc estiver com o SP1, botao direito em Asset Intelligence e Edit...dai lah vc seleciona a classe SMS_SystemConsoleUser.

    Se vc tiver apenas com o RTM, altere o sms_def.mof e em SMS_Report de FALSE para TRUE..depois que isso estiver alterado e o event log estiver sendo populado..o inventario de hardware vai popular a base e dai eh soh visualizar via relatorios..

    obs: Por padrao, o agente do inventario de hardware tem agendamento a cada 7 dias...no teu caso eh melhor mudar para 1 dia ou menos

    lembrando que se vc alterar, existira um mais trafego na rede, mais processamento nos clientes e servidor...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
    sexta-feira, 4 de setembro de 2009 07:16
    Moderador

Todas as Respostas

  • Boa tarde,

    vc poderia utilizar os relatorios do Asset Intellingece pra fazer isso, vc vai precisar habilitar o log de eventos (http://technet.microsoft.com/en-us/library/cc431373.aspx), e a classe SMS_SystemConsoleUser

    e depois visualizar os relatorios

  • Hardware 3A - Primary Computer Users
  • Hardware 3B - Computers for a Specific Primary Console User
  • Hardware 4A - Shared (Multi-user) Computers
  • Hardware 5A - Console Users on a Specific Computer
  • lembrando que o agente de inventario de hardware que eh o responsavel por essa coleta

    mais info em http://technet.microsoft.com/en-us/library/cc161947.aspx


    uma outra forma eh utilizar o SCOM ACS (Audit Collection Services), acho que ele vai atender de 1 forma melhor, mas como n sou expert em SCOM, n posso confirmar

    espero ter ajudado,


    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
quinta-feira, 3 de setembro de 2009 17:37
Moderador
  • A auditoria eu habilitei tranquilo, agora tenho que fazer alguma alteração no arquivo sms_def.mof? Os relatorios ja aparecem no report para eu utilizar, ciquei com o direito/RUN Espero agora ele trazer os resultados? Somente isso? Hardware 3A - Primary Computer Users Hardware 3B - Computers for a Specific Primary Console User Hardware 4A - Shared (Multi-user) Computers Hardware 5A - Console Users on a Specific Computer
    quinta-feira, 3 de setembro de 2009 18:11
  • Bom dia,

    se vc estiver com o SP1, botao direito em Asset Intelligence e Edit...dai lah vc seleciona a classe SMS_SystemConsoleUser.

    Se vc tiver apenas com o RTM, altere o sms_def.mof e em SMS_Report de FALSE para TRUE..depois que isso estiver alterado e o event log estiver sendo populado..o inventario de hardware vai popular a base e dai eh soh visualizar via relatorios..

    obs: Por padrao, o agente do inventario de hardware tem agendamento a cada 7 dias...no teu caso eh melhor mudar para 1 dia ou menos

    lembrando que se vc alterar, existira um mais trafego na rede, mais processamento nos clientes e servidor...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
    sexta-feira, 4 de setembro de 2009 07:16
    Moderador
  • Valeu Rafa, vou dar continuidade agora então nesse processo, preciso antes criar um certificado, de qualquer forma com as suas dicas tenho certeza que vai dar tudo certo!

    Forte abraço e obrigado!!!
    sexta-feira, 4 de setembro de 2009 13:29
  • WebCast - Auditoria Transparente Logon

    http://jordanomazzoni.com.br/index.php?option=com_content&view=article&id=278&Itemid=76

    Acho que esta DEMO pode lhe ajudar e identificar sua demanda.

    Caso seja útil não esqueça de pontuar.

    Grande abraço

    Jordano Mazzoni


    http://jordanomazzoni.com.br
    sábado, 4 de setembro de 2010 16:51