Systeembeheer remote controleren

visie schreef op donderdag 25 juli 2013 @ 15:08:
Hmm deze loopt maar tot 16-7-2013, en de login is geweest op 03-06-2013. Wordt het nog ergens anders bijgehouden?

[ Voor 5% gewijzigd door Weezer-DC op 25-07-2013 21:58 ]

[ Voor 13% gewijzigd door Weezer-DC op 25-07-2013 22:20 ]

visie schreef op donderdag 25 juli 2013 @ 14:59:
Ik zit met een vraag over mijn server wat ik zo niet kan vinden.
Ik gebruik voor mijn praktijk een windows 2003 server met daarnaast verschillende werstations. Dit alles wordt door een ICT bedrijf onderhouden.
Nu kregen wij een rekening waarbij aangegeven werd: "Systeembeheer remote". Hierbij wodt aangegeven dat er vanaf een andere lokatie wordt ingelogd om het een en ander te controleren en bij te werken.
Graag zou ik dit willen controleren en eventueel ook zelf kunnn inloggen.

Weet iemand of er een log wordt bijgehouden wie er wanneer precies inlogt van buitenaf? En zo ja waar kan ik deze log in windows server 2003 vinden?

[ Voor 22% gewijzigd door Turdie op 25-07-2013 23:39 ]

Eagle Creek schreef op donderdag 25 juli 2013 @ 23:38:
[...]

Vanuit auditorsperspectief is het vertrouwen is goed maar controleren is beter. Ethisch oogpunt even buiten beschouwing gelaten: ik denk dat een steekproefsgewijze controle geen kwaad kan. Natuurlijk zou je elk bedrijf dat je inhuurt volledig moeten kunnen vertrouwen. Maar er kan altijd een fout zijn gemaakt, per ongeluk of bewust. Jij bent de klant die betaald dus als jij graag e.e.a. gespecificeerd wilt zien, moet dat in mijn ogen gewoon kunnen! Als je een goede klant-leverancierverhouding hebt kan ik me echter voorstellen dat je niet te vaak controleert - vertrouwen zou dan genoeg moeten zijn.

[ Voor 15% gewijzigd door Turdie op 25-07-2013 23:44 ]

shadowman12 schreef op donderdag 25 juli 2013 @ 23:40:
[...]


Maar volgens mij is het zo binnen het audit vak dat je kennis moet hebben en de juiste opleidingen voor het werk wat je doet, en dat is in dit geval enorm krom. Je gaat toch ook niet iemand zonder tandheelkunde opleiding aan je gebit werken? Ik vind dat als je een leverancier wilt controleren, dat geeft er blijk van dat je die leverancier niet vertrouwt, dan is het gewoon tijd om een andere te zoeken. Kosten even daargelaten.

visie schreef op donderdag 25 juli 2013 @ 23:48:
@ shadowman12

Het gaat zeker om vertrouwen. Alles werkt prima maar normaal kwam hij altijd langs en opeens krijgen we een rekening op de mat... Dus zou ik nu graag willen controleren of het klopt wat hij heeft opgegeven in de rekening.
Als patiënten mij willen controleren, GRAAG! Ik doe altijd mijn best en ben perfectionistisch aangelegd . Daarbij leg ik ALTIJD van te voren uit wat ik ga doen en naderhand laat ik graag aan de patiënten zien wát ik gedaan heb.
Ik kan me namelijk goed voorstellen dat een patiënt langs komt of op belt met de vraag waarom er bijvoorbeeld een vulling is gedeclareerd terwijl hij een afspraak had voor alleen controle. Ik geef dus van te voren aan dat ik wat ga vullen zodat ze geen verrassing achteraf krijgen!

1. Maakt met notepad een bestand en sla het op je bureaublad als EventLogFSO.vbs en sla het op in bijvoorbeeld C:\Temp (maak die map eerst aan)
2. Plak daarin de code die hieronder ziet staan
3. Maak een snelkoppeling op je bureaublad naar cmd.exe
4. Open cmd.exe vanaf je bureaublad en type daarin het volgende cscipt C:\Temp\EventLogFSO.vbs
5. Nu zou je in C:\Temp\EventLogsFSO.txt een bestand kunnen vinden waarin alle logins en logoffs van de beheerders staan in EventLogsFSO.txt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

' EventLogFSO.vbs
VBScript to write event log data to text file
' -----------------------------------------------------------'
Option Explicit

Dim objFSO, objFolder, objFile, objWMI, objItem, objShell
Dim strComputer, strFileName, strFileOpen, strFolder, strPath
Dim intEvent, intNumberID, intRecordNum, colLoggedEvents
Dim intEventType, strLogType

' --------------------------------------------------------
' Set the folder and file name
strComputer = "."
strFileName = "\EventLogsFSO.txt"
strFolder = "C:\Temp"
strPath = strFolder & strFileName

' Set numbers
intNumberID = 680 ' Event ID Number
intEventType = 4
strLogType = "'Security'"
intRecordNum = 0

' -----------------------------------------------------
' Section to create folder and hold file.
' Create the File System Object
Set objFSO = CreateObject("Scripting.FileSystemObject")

' Check that the strFolder folder exists
If objFSO.FolderExists(strFolder) Then
Set objFolder = objFSO.GetFolder(strFolder)
Else
Set objFolder = objFSO.CreateFolder(strFolder)
WScript.Echo "Just created " & strFolder
End If

If objFSO.FileExists(strFolder & strFileName) Then
Set objFolder = objFSO.GetFolder(strFolder)
Else
Set objFile = objFSO.CreateTextFile(strFolder & strFileName)
Wscript.Echo "Just created " & strFolder & strFileName
End If
' --------------------------------------------------
' Two tiny but vital commands (Try script without)
set objFile = nothing
set objFolder = nothing

' ----------------------------------------------------
' Write the information to the file
Wscript.Echo " Press OK and Wait 30 seconds (ish)"
Set strFileOpen = objFso.CreateTextFile(strPath, True)

' ----------------------------------------------------------
' WMI Core Section
Set objWMI = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" _
& strComputer & "\root\cimv2")
Set colLoggedEvents = objWMI.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile =" & strLogType)

' ----------------------------------------------------------
' Next section loops through ID properties

For Each objItem in colLoggedEvents
If objItem.EventCode = intNumberID Then
If objItem.EventType = intEventType Then
strFileOpen.WriteLine("Category: " & objItem.Category _
& " string " & objItem.CategoryString)
strFileOpen.WriteLine("ComputerName: " & objItem.ComputerName)
strFileOpen.WriteLine("Logfile: " & objItem.Logfile _
& " source " & objItem.SourceName)
strFileOpen.WriteLine("EventCode: " & objItem.EventCode)
strFileOpen.WriteLine("EventType: " & objItem.EventType)
strFileOpen.WriteLine("Type: " & objItem.Type)
strFileOpen.WriteLine("User: " & objItem.User)
strFileOpen.WriteLine("Message: " & objItem.Message)
strFileOpen.WriteLine (" ")
intRecordNum = intRecordNum +1
End If
End If
Next

' Confirms the script has completed and opens the file
Set objShell = CreateObject("WScript.Shell")
objShell.run ("Explorer" &" " & strPath & "\" )

WScript.Quit

' End of Admin Logon VBScript

[ Voor 5% gewijzigd door Turdie op 26-07-2013 10:37 ]

shadowman12 schreef op vrijdag 26 juli 2013 @ 10:28:
[...]
Ok, dan zou ik een script kunnen maken en dan draaien. Hij leest wel de Event Log uit en die moet dus wel informatie hebben en goede retentie hebben (kan te kort zijn om alles te kunnen zien).

Eagle Creek schreef op vrijdag 26 juli 2013 @ 11:39:
[...]
Eisen voelt voor mij wat zwaar maar ik denk dat er geen dienstverlener is die hier groot bezwaar tegen heeft als jij aangeeft graag controle te willen houden over de kosten.

[ Voor 15% gewijzigd door Question Mark op 26-07-2013 11:45 ]

Question Mark schreef op vrijdag 26 juli 2013 @ 11:35:

Respect voor je inzet hoor, maar volgens mij is dit helemaal geen technisch probleem.

Question Mark schreef op vrijdag 26 juli 2013 @ 11:35:
Verder zou ik persoonlijk even gaan eisen dat men vooraf even gaat bellen als men van plan is onderhoud uit te voeren waarvoor een factuur verstuurd gaat worden.

Question Mark schreef op vrijdag 26 juli 2013 @ 11:35:


Verder zou ik persoonlijk even gaan eisen duidelijk gaan stellen dat men vooraf even gaat bellen als men van plan is onderhoud uit te voeren waarvoor een factuur verstuurd gaat worden.