none
Логирование действий пользователя. RRS feed

  • Вопрос

  • Добрый день! Имеется терминальный сервер под управлением MS Server 2008 sp1. Установлены роли сервера терминалов, лицензирования сервера терминалов, IIS. Требуется доказать, что пользователь в определенный промежуток времени (январь-май с.г.) запускал программу (1С) в рабочее время, со своего компьютера (подключившись к терминальному серверу). Ведется ли на сервере подобная статистика? Возмоно ли вытащить подобные данные (т.е. пользователь "User", 05 января 2012 г, в 09ч01мин  подключился к серверу "Server1", запустил программу 1CV8.exe, вечером в 18.00, отключился). Заранее спасибо за помощь!

    25 июля 2012 г. 9:04

Ответы

  • если сами не делали резеврных копий то уже не восстановить.
    сбор, хранение и анализ событий аудита тоже надо планировать и регламентировать, еще до внедрения систем, а сейчас уже поздно дергаться.

    • Предложено в качестве ответа Yuriy Lenchenkov 31 июля 2012 г. 11:45
    • Помечено в качестве ответа DFLegat 31 июля 2012 г. 12:26
    30 июля 2012 г. 9:13
    Модератор

Все ответы

  • Разве что продуктами третьих фирм это будет удобно делать. На ум приходит что-то типа staffcop (не сочтите за рекламу).

    25 июля 2012 г. 9:18
    Отвечающий
  • Спасибо, Иван! Но вопрос несколько в ином- возможно ли получить данную статистику за прошлые периоды? Любая программа будет вести логи с момента своей установки, никак не ранее. :( Неужели в Windows Server не предусмотрена подобная возможность, хотя бы из соображений безопасности? Например, проверить, кто запустил скрипт или файл вируса?
    25 июля 2012 г. 12:43
  • Когда, кто и с какого адреса подключался к терминальному серверу сохраняется по умолчанию в журнале eventlog Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.

    Какое ПО при этом пользователь запускал по умолчанию средствами Windows насколько мне известно не логируется.

    26 июля 2012 г. 5:24
  • Была примерно такая же ситуация. Нужно было узнать: когда подключался, какие принтеры мэпились, с какого компьютера (имя компьютера).

    Во первых есть журнал регистрации в 1с, надеюсь у вас он не отключен? Там можно посмотреть когда человек заходил в программу и с какого компьютера и что делал.

    Во вторых в журнале событий, в категории "безопасность" и "система" можно посмотреть, когда было подключение, с какого компьютера и другая информация.


    26 июля 2012 г. 5:59
  • Данный журнал (Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational) пуст, 0 событий. В Журнале "Безопасность" только имя под которым заходил пользователь, имени компа нет. Журнала регистраций 1С недостаточно, требуется показать, что подключение к сеансу было с одного конкретного компьютера.
    26 июля 2012 г. 8:17
  • пустой лог это плохо, он не должен быть таким. в security логах пишется ип компьютера с которого было подключение.

    26 июля 2012 г. 11:50
    Модератор
  • Включил журнал Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational, он только пишет было соединение, или нет. Security журнал в дефолте стоял на перезапись, есть ли шанс вытащить хоть что-нибудь? Знаком с методологией восстановления файлов, и знаю, что при перезаписи файла шансы нулевые. Вопрос нет ли какой-нибудь "самой резервной копии"?
    30 июля 2012 г. 6:13
  • если сами не делали резеврных копий то уже не восстановить.
    сбор, хранение и анализ событий аудита тоже надо планировать и регламентировать, еще до внедрения систем, а сейчас уже поздно дергаться.

    • Предложено в качестве ответа Yuriy Lenchenkov 31 июля 2012 г. 11:45
    • Помечено в качестве ответа DFLegat 31 июля 2012 г. 12:26
    30 июля 2012 г. 9:13
    Модератор