[2003] RDP/Console Connections loggen.

EventVieuwer security log misschien?

^^^ met Rolfie.

Anders zou je eventeel nog met aan- en aflogscripts kunnen gaan werken die een melding maken in een logbestandje.

Ik vraag me alleen af waarom je dit zou willen? Je vertrouwt je mede-beheerders toch wel?

Vincenz0 schreef op dinsdag 05 september 2006 @ 12:10:
[...]
mijn baas wil weten wie wat waneer doet, zodat een iets minder slimme beheerder iets fout doet en we weeten wie het was

Dan vraag je toch gewoon wie iets gedaan heeft

By the way, ik doe 99 procent van mijn beheerswerkzaamheden vanaf mijn beheerswerkplek. Hoe wil je dit dan gaan controleren?

Maar goed, in de eventlog staat (als dat aangezet is) ook account logons....

Audit account logon events

Logontype: 10
Description: RemoteInteractive - A user logged on to this computer remotely using Terminal Services or Remote Desktop.

[ Voor 10% gewijzigd door Question Mark op 05-09-2006 12:19 ]

Achterhaal je via Wins of DNS... Beheerders vaste ip-adressen geven en klaar...

Edit:
Net nog even gekeken in een security eventlog hier. Ik zie keurig de workstation- en username in Event-ID 528 staan.

[ Voor 45% gewijzigd door Question Mark op 05-09-2006 12:36 ]

Question Mark schreef op dinsdag 05 september 2006 @ 12:16:
Dan vraag je toch gewoon wie iets gedaan heeft

By the way, ik doe 99 procent van mijn beheerswerkzaamheden vanaf mijn beheerswerkplek. Hoe wil je dit dan gaan controleren?

dit ligt heel erg aan of je het lokale netwerk beheert, of je bij klanten beheert. in het laatste geval zal je juist bijna alles met rdp doen.

ik heb zelf wel eens een script gemaakt voor het afvuren van rdp. Deze logde de tijd en wie er waarheen ging. zodra de rdp sessie gestopt werd, werd dit ook weer gelogd. Echter hier kon redelijk makkelijk omheen gegaan worden als je kwaad in de zin had. voordeel was wel een central log bestand.

Een script bij aanloggen/afloggen is zeker een mogelijkheid, maar bedenk wel dat je dan een log bestand krijgt op elke server (edit: dom dom loggen naar een share natuurlijk ) + elke admin kan het log manipuleren

Tja, iedereen die admin rechten heeft kan bijna elke logfile manipuleren. Persoonlijk vindt ik dat als je beheerders niet vertrouwd (dat zal de issue waarschijnlijk zijn), dat je hun dan die rechten niet moet geven.

TS heeft het over één enkele server, die door 10 man (tegelijk) beheerd wordt. Ik denk dat deze verhouding ook iets scheef ligt, en daarom de kans op fouten toeneemt (tenzij alle handelingen tot in detail beschreven zijn).

Question Mark schreef op dinsdag 05 september 2006 @ 13:04:
Tja, iedereen die admin rechten heeft kan bijna elke logfile manipuleren. Persoonlijk vindt ik dat als je beheerders niet vertrouwd (dat zal de issue waarschijnlijk zijn), dat je hun dan die rechten niet moet geven.

TS heeft het over één enkele server, die door 10 man (tegelijk) beheerd wordt. Ik denk dat deze verhouding ook iets scheef ligt, en daarom de kans op fouten toeneemt (tenzij alle handelingen tot in detail beschreven zijn).

Het is niet alleen een kwestie van vertrouwen. Ik heb altijd klanten beheerd en ben menigmaal in de situatie geweest dat er iets misging en dat de klant naar ons wees. Erg handig als je dan logging hebt die laat zien dat hun eigen beheerder/gebruiker de dader was of dat wij het inderdaad geweest waren (ik niet natuurlijk ). Als je niets kan bewijzen, dan ben je als beheerpartij altijd de lul.

Da's waar, maar ik refereer evnen naar de situatie van de TS. Het lijkt daar om allemaal interne beheerders te gaan. Kijk, iedereen kan een fout maken, maar een beetje kerel meld dit zelf even.

Ik zie in dit geval dan geen noodzaak voor extra logging. In situaties zoals jij beschrijft kan dit inderdaad wel handig zijn.

@TS: de username wordt toch al gelogd in de security-log. Tenzij je een generiek beheers-account ( ) gebruikt, is dit toch voldoende?

Vincenz0 schreef op dinsdag 05 september 2006 @ 13:30:
de (bijna) admins krijgen geen recht op de file te schrijven, alleen system zelf, zou dus geen probleem moeten zijn.

login/logoff script gaat dus niet werken (script as in "Echo %date% %time% %username% has logged on/off to %computername%>>\\server\share\log.file). Hier zijn namelijk schrijfrechten nodig voor die user. Natuurlijk heeft elke beheerder een eigen account nodig. Zowieso een goede zaak om dat te implementeren.
Je zou natuurlijk runas kunnen gebruiken, maar ik ben bang dat de meeste beheerder daar wel omheen komen

Verder bedoel je met (bijna) administrator, dat ze geen administrator zijn, maar gedelegeerde users? Als ze admins zijn kunnen ze simpelweg ownership nemen en file rechten aanpassen.

enige wat ik nodig heb is een progje/tooltje/scriptje die laat zien of iemand die inlogt waneer of ie console of RDP gebruikt en in het geval van RDP vanaf welke pc het komt (PC-208 bijv.)

Gewoon eventlog uitlezen en de output filteren, manipuleren met een script. Geen tooltje voor je, ik gebruik mom hiervoor

http://www.google.nl/sear...=nl&q=dump+eventlog&meta=

www.LogParser.com kan ik hier ook wel voor aanraden - voor het exporteren / filteren van je eventlog