none
Auditoria de Logon/Logoff RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Boa tarde galera, Tenho uma duvida/necessidade no SCCM e preciso do auxilio de vocês. Estou participando de um projeto onde tenho a necessidade de fazer auditoria dos logs de Logon/Logoff, sei que isso é possivel fazer utilizando a tradicional forma de auditoria pelo AD, mas para os analistas de monitoria não pratico olhar os ids de eventos e assim por diante... Por isso o que eu gostaria de saber é se o SCCM atraves de alguma query pode trazer os logs de logon/logoff dos usuarios!
    quinta-feira, 3 de setembro de 2009 17:13
    |

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    A auditoria eu habilitei tranquilo, agora tenho que fazer alguma alteração no arquivo sms_def.mof? Os relatorios ja aparecem no report para eu utilizar, ciquei com o direito/RUN Espero agora ele trazer os resultados? Somente isso? Hardware 3A - Primary Computer Users Hardware 3B - Computers for a Specific Primary Console User Hardware 4A - Shared (Multi-user) Computers Hardware 5A - Console Users on a Specific Computer
    quinta-feira, 3 de setembro de 2009 18:11
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Bom dia,

    se vc estiver com o SP1, botao direito em Asset Intelligence e Edit...dai lah vc seleciona a classe SMS_SystemConsoleUser.

    Se vc tiver apenas com o RTM, altere o sms_def.mof e em SMS_Report de FALSE para TRUE..depois que isso estiver alterado e o event log estiver sendo populado..o inventario de hardware vai popular a base e dai eh soh visualizar via relatorios..

    obs: Por padrao, o agente do inventario de hardware tem agendamento a cada 7 dias...no teu caso eh melhor mudar para 1 dia ou menos

    lembrando que se vc alterar, existira um mais trafego na rede, mais processamento nos clientes e servidor...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
    sexta-feira, 4 de setembro de 2009 07:16
    |
    Moderador

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Boa tarde,

    vc poderia utilizar os relatorios do Asset Intellingece pra fazer isso, vc vai precisar habilitar o log de eventos (http://technet.microsoft.com/en-us/library/cc431373.aspx), e a classe SMS_SystemConsoleUser

    e depois visualizar os relatorios

  • Hardware 3A - Primary Computer Users
  • Hardware 3B - Computers for a Specific Primary Console User
  • Hardware 4A - Shared (Multi-user) Computers
  • Hardware 5A - Console Users on a Specific Computer

    • lembrando que o agente de inventario de hardware que eh o responsavel por essa coleta

    mais info em http://technet.microsoft.com/en-us/library/cc161947.aspx


    uma outra forma eh utilizar o SCOM ACS (Audit Collection Services), acho que ele vai atender de 1 forma melhor, mas como n sou expert em SCOM, n posso confirmar

    espero ter ajudado,

    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
quinta-feira, 3 de setembro de 2009 17:37
|
Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    A auditoria eu habilitei tranquilo, agora tenho que fazer alguma alteração no arquivo sms_def.mof? Os relatorios ja aparecem no report para eu utilizar, ciquei com o direito/RUN Espero agora ele trazer os resultados? Somente isso? Hardware 3A - Primary Computer Users Hardware 3B - Computers for a Specific Primary Console User Hardware 4A - Shared (Multi-user) Computers Hardware 5A - Console Users on a Specific Computer
    quinta-feira, 3 de setembro de 2009 18:11
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Bom dia,

    se vc estiver com o SP1, botao direito em Asset Intelligence e Edit...dai lah vc seleciona a classe SMS_SystemConsoleUser.

    Se vc tiver apenas com o RTM, altere o sms_def.mof e em SMS_Report de FALSE para TRUE..depois que isso estiver alterado e o event log estiver sendo populado..o inventario de hardware vai popular a base e dai eh soh visualizar via relatorios..

    obs: Por padrao, o agente do inventario de hardware tem agendamento a cada 7 dias...no teu caso eh melhor mudar para 1 dia ou menos

    lembrando que se vc alterar, existira um mais trafego na rede, mais processamento nos clientes e servidor...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS/MCITP/MCT - http://www.dotnetwork.com.br
    sexta-feira, 4 de setembro de 2009 07:16
    |
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Valeu Rafa, vou dar continuidade agora então nesse processo, preciso antes criar um certificado, de qualquer forma com as suas dicas tenho certeza que vai dar tudo certo!

    Forte abraço e obrigado!!!
    sexta-feira, 4 de setembro de 2009 13:29
    |
  • Question
    Entrar para Votar
    1
    Entrar para Votar

    WebCast - Auditoria Transparente Logon

    http://jordanomazzoni.com.br/index.php?option=com_content&view=article&id=278&Itemid=76

    Acho que esta DEMO pode lhe ajudar e identificar sua demanda.

    Caso seja útil não esqueça de pontuar.

    Grande abraço

    Jordano Mazzoni

    http://jordanomazzoni.com.br
    sábado, 4 de setembro de 2010 16:51
    |