woensdag 24 februari 2010 09:47

Acties:
  • 0 Henk 'm!
  • YorgoB
  • Registratie: Juni 2003
  • Laatst online: 09:09

YorgoB

Topicstarter
Omdat ik met google niet vond wat ik zocht;

Ik ben op zoek naar een programma om extern in loggen te kunnen controleren.

De volgende configuratie:
Gebruikers loggen in via Terminal Server Gateway op een 2008 server.
Op de server wordt netjes in de Security logfiles bijgehouden welke gebruikers vanuit welk ipadres inloggen.
Er komen echter ook veel systeem aanvragen, welke ook gelogd worden.
Kan via de policy alleen filteren op juiste/nietjuiste inlogpogingen.

Nu zou ik graag in een programma willen bijhouden de combinatie inlognaam - extern ipadres.
Weet iemand wat voor programma ik hiervoor kan gebruiken?

Alvast bedankt voor de reacties.

woensdag 24 februari 2010 10:02

Acties:
  • 0 Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Vertel eens wat je zoal geprobeerd hebt om hier uit te komen, ik kan me bijvoorbeeld vrij recentelijk nog een topic herinneren dat hierover ging, stond daar niet in wat je zocht? :)

woensdag 24 februari 2010 10:13

Acties:
  • 0 Henk 'm!
  • YorgoB
  • Registratie: Juni 2003
  • Laatst online: 09:09

YorgoB

Topicstarter
Ik heb gezocht op de combinatie extern ip en inlognaam, zowel in google als tweakers, maar kwam hier niet verder mee.

woensdag 24 februari 2010 13:42

Acties:
  • 0 Henk 'm!
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 09-09 11:39

mbaltus

Misschien als startpunt: http://www.kixtart.org/fo...r=123640&site_id=1#import

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 24 februari 2010 13:47

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

YorgoB schreef op woensdag 24 februari 2010 @ 09:47:

Kan via de policy alleen filteren op juiste/nietjuiste inlogpogingen.

Nu zou ik graag in een programma willen bijhouden de combinatie inlognaam - extern ipadres.
Weet iemand wat voor programma ik hiervoor kan gebruiken?
Wat je wil filteren is op de inhoud van je eventID's die er al zijn blijkbaar?
Daarvoor kun je bijvoorbeeld Powershell gebruiken of logparser. Let er wel op dat je goed moet weten welke velden binnen de eventIDs je moet hebben - en dat is dus NIET de username die je direct in eventviewer ziet staan ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 24 februari 2010 14:31

Acties:
  • 0 Henk 'm!
  • YorgoB
  • Registratie: Juni 2003
  • Laatst online: 09:09

YorgoB

Topicstarter
alt-92 schreef op woensdag 24 februari 2010 @ 13:47:
[...]


Wat je wil filteren is op de inhoud van je eventID's die er al zijn blijkbaar?
Daarvoor kun je bijvoorbeeld Powershell gebruiken of logparser. Let er wel op dat je goed moet weten welke velden binnen de eventIDs je moet hebben - en dat is dus NIET de username die je direct in eventviewer ziet staan ;)
Ik weet dat je dit kunt opzoeken door te filteren in de events. Echter is het probleem dat er zoveel wordt gelogd dat je maar van enkele dagen terug kunt zoeken. Hierna heb ik gezocht hoe ik er minder in kon krijgen, maar ik kan via een policy alleen aangeven dat er goede logons/ niet goede logons kan filteren. Dit is dus niet genoeg.

Vandaar dat ik op zoek was naar een programma welke dit bijhoudt.

woensdag 24 februari 2010 20:54

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dan kun je je audit logs groter instellen (kan er meer in van meer dagen - duh), of je zorgt met bijvoorbeeld logparser ervoor dat de gegevens naar een database worden gelogd zodat je daar later op je gemak queries op kan loslaten.

[google=logparser eventlog SQL]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 25 februari 2010 11:58

Acties:
  • 0 Henk 'm!
  • YorgoB
  • Registratie: Juni 2003
  • Laatst online: 09:09

YorgoB

Topicstarter
alt-92 schreef op woensdag 24 februari 2010 @ 20:54:
Dan kun je je audit logs groter instellen (kan er meer in van meer dagen - duh), of je zorgt met bijvoorbeeld logparser ervoor dat de gegevens naar een database worden gelogd zodat je daar later op je gemak queries op kan loslaten.

[google=logparser eventlog SQL]
Bedankt voor je reactie.
Natuurlijk hadden we deze al groter gezet, maar dan nog, te weinig dagen.
Logparser kende ik niet. Ik ga hier eens naar kijken.

Indien iemand anders nog een andere optie heeft, hoor ik dit ook graag.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq