Toon posts:

[Win2k] lijst van succesvolle login acties uitdraaien

Pagina: 1
Acties:

donderdag 25 november 2004 09:17

Acties:

Verwijderd

Topicstarter
We hebben hier de behoefte om per persoon een lijst uit te kunnen draaien wanneer deze persoon ingelogd is op ons domein (locaal dan wel via Citrix) en weer is uitgelogd.
Nu staat er in de event log bij security een hoop maar niet wanneer iemand is ingelogd.

heeft windows 2000 server hier mogelijkheden voor? Zijn er eventueel externe applicaties die dit soort zaken kunnen registreren? Liefst freeware. Kan windows zo ingesteld worden dat deze deze login acties zelf opslaat?

Ik heb al gepoogt bij Google iets te vinden, maar daar krijg je zo ontzettend veel reacties van terug dat dat bijna niet te filteren is.

donderdag 25 november 2004 10:00

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

OS in topictitel gezet, zie Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/Sticky_off.gif WOS Policy en alle andere topictitels in WOS voor waarom ;)

Ik neem aan dat je de auditmogelijkheden van Windows kent? Kijk anders eens naar je Audit Policy, waar gewoon Succesful Logon Events zijn te loggen :Y)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 25 november 2004 10:09

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

user logon eventid 528 / 538
user logoff eventid 538

op deze 2 events filteren + naam gebruiker kom je heel eind.

Als je gewoon audit aanzet op succesfull & Failure logon kom je heel eind

onderstaande audits zet ik default altijd aan
Audit account logon events Success, Failure
Audit logon events Success, Failure
Audit policy change Success, Failure
Audit system events Success, Failure

Het beste is een nieuwe GPO aanmaken en deze op domain niveau hangen ipv de default policies aanpassen. Voorkomt hoop werk als er een policy corrupt raakt namelijk en je defaults blijven goed.

[ Voor 21% gewijzigd door mutsje op 25-11-2004 10:11 ]

donderdag 25 november 2004 12:24

Acties:

Verwijderd

Topicstarter
heel erg bedankt mutsje!!! Ik ga het direct testen en uitvoeren. Dit zou voor ons veel duidelijkheid moeten bieden. Nu nog een programma waarmee ik het alemaal mooi grafisch in beeld zou kunnen brengen en dan zijn we helemaal blij!

donderdag 25 november 2004 12:59

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

je hebt hier wel programmatuur voor maar daar moet je voor betalen.
Je zou een afweging kunnen maken of je het uberhaupt wel wil tonen in een grafisch geheel zoveel meerwaarde heeft het niet.

Als je eventviewer wil dumpen om later te importeren in een database zou je Dump Event kunnen gebruiken van http://www.systemtools.com/somarsoft

[ Voor 28% gewijzigd door mutsje op 25-11-2004 13:04 ]

maandag 29 november 2004 00:40

Acties:

Verwijderd

Topicstarter
Hallo Mutsje,

Ik wil toch nog terugkomen op eerder succes, na het aanzetten van de local policy
Audit account logon events Success, Failure krijg ik iedere seconde een event in de event viewer. Namelijk events 672 673 en 680. En dat is natuurlijk niet zo handig. gaat veelal over local toegang. Dus misschien heb ik toch nog iets fout staan. Heb ik wel de goede audit policy aangezet?

Ik zie ook vaak keberos ertussen staan.

Het is allemaal niet echt login gegevens volgens mij. Iemand een suggestie? Want dit kan ik beter zo uitzetten als ik niet wil dat mijn complete event log bestaat uit 1 a 2 dagen met dit soort meldingen.

maandag 29 november 2004 01:00

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

ik ben niet zo bedreven maar zelf zou ik gewoon iets van

@echo >> pad\login.txt %date%,%time%,%username%

doen

[ Voor 6% gewijzigd door Fish op 29-11-2004 01:01 ]

Iperf

maandag 29 november 2004 01:33

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

mutsje schreef op donderdag 25 november 2004 @ 10:09:
user logon eventid 528 / 538
user logoff eventid 538

op deze 2 events filteren + naam gebruiker kom je heel eind.
Dus....

Filteren die hap.

Je kan een 30 dagen trial van GFI LANguard Security +EventLogManager proberen bijvoorbeeld voor je rapportage...

[ Voor 19% gewijzigd door alt-92 op 29-11-2004 01:34 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 29 november 2004 09:09

Acties:

Verwijderd

Topicstarter
Ja maar als je iedere 2 seconde een event krijgt heeft filteren absoluut geen zin, je log van 10 mb is dan namelijk zo vol.

Hoe kan ik voorkomen dat hij iedere keer deze onzin events erin zet?

maandag 29 november 2004 10:00

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Kan je ons ook even vertellen welke exacte meldingen? Bijvoorbeeld de verklarende tekst, bron, user, etc.... 672, 673 en 680 kunnen meerdere dingen betekenen :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 29 november 2004 10:09

Acties:
  • DaRealRenzel
  • Registratie: November 2000
  • Laatst online: 21-04 11:42

DaRealRenzel

Overtuigd Dipsomaan

mutsje schreef op donderdag 25 november 2004 @ 12:59:
je hebt hier wel programmatuur voor maar daar moet je voor betalen.
Je zou een afweging kunnen maken of je het uberhaupt wel wil tonen in een grafisch geheel zoveel meerwaarde heeft het niet.

Als je eventviewer wil dumpen om later te importeren in een database zou je Dump Event kunnen gebruiken van http://www.systemtools.com/somarsoft
Of DumpEL uit de Resource Kit

Nothing is a problem once you've debugged the code

maandag 29 november 2004 11:04

Acties:

Verwijderd

Topicstarter
Het betreft bijvoorbeeld event ID 673
USER: NT autority\system
username: servernaam$
Userdomain:onsdomein.nl
etc etc
Ticket option: 0x etc
Ticket encryption type 0x17
Client adress: 127.0.0.1

Of EventID 680:
Account used for logon by:
Microsoft Authentication_package_v1_0
Account name: administrator_onsdomein
Workstation: Workstationame

En dit dan iedere seconde een paar keer. Ze hebben ook altijd de user naam SYSTEM.

maandag 29 november 2004 11:19

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

dat zijn authentication packages van een werkstation naar het domain toe. :) niks bijzonders had je ook op www.microsoft.com/technet kunnen vinden.

maandag 29 november 2004 11:33

Acties:

Verwijderd

Topicstarter
Kan zijn dat het allemaal niets bijzonders is, maar hoe kan ik zorgen dat ik alleen zinnige informatie krijg.

Ik wil alleen dat als een user in/uit-logt dat dat in de event log komt.

En niet al die flauwekul van Keberos, System event etc. Als al die zaken in de event log komen kan ik nooit meer zinnig terugzoeken of iemand een maand geleden heeft ingelogd, want dan moet ik de log file size op 1 Gb groot zetten ofzo.

Dus mijn "probleem" is de wens op alleen voor mij zinnige informatie in de event log te krijgen. En dat is wanneer logt iemand in (een user dus), wanneer logt die uit, en vanaf welke PC logt die in/uit. Als ik dan de vraag krijg, wie heeft er voor het laatst onder mijn account ingelogd, dan kan ik dat met zekerheid zeggen dat mr.x het was vanaf pc.y.

maandag 29 november 2004 12:03

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je zal denk ik gewoon moeten filteren uit je eventlog en dat apart op slaan - LogParser van Microsoft kan je hier bijvoorbeeld voor gebruiken (http://www.microsoft.com/...ols/logparser/default.asp) :)

maandag 29 november 2004 13:10

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

Verwijderd schreef op maandag 29 november 2004 @ 11:33:
Kan zijn dat het allemaal niets bijzonders is, maar hoe kan ik zorgen dat ik alleen zinnige informatie krijg.

Ik wil alleen dat als een user in/uit-logt dat dat in de event log komt.

En niet al die flauwekul van Keberos, System event etc. Als al die zaken in de event log komen kan ik nooit meer zinnig terugzoeken of iemand een maand geleden heeft ingelogd, want dan moet ik de log file size op 1 Gb groot zetten ofzo.

Dus mijn "probleem" is de wens op alleen voor mij zinnige informatie in de event log te krijgen. En dat is wanneer logt iemand in (een user dus), wanneer logt die uit, en vanaf welke PC logt die in/uit. Als ik dan de vraag krijg, wie heeft er voor het laatst onder mijn account ingelogd, dan kan ik dat met zekerheid zeggen dat mr.x het was vanaf pc.y.
Daar hebben ze dus filters voor uitgevonden. En hoe groot jij je security log moet maken ligt eraan hoe lang jij event's terug wilt vinden. Meestal wordt een event opgemerkt en gelijk onderzocht, als er iemand inlogt onder jou account en je gaat na een maand dit nog onderzoeken loop je redelijk achter de feiten aan.

Standaard in Windows Server 2003 staat security log op 64MB wat al groot is, ik ken enkele bedrijven daar staan ze op 4 tot 10GB.....

maandag 29 november 2004 16:12

Acties:

Verwijderd

Topicstarter
Het is toch soms nuttig om te zien of iemand in het verleden van een andere computers heeft ingelogd dan hij mag.

Over de logfile van 4 Gb groot :-) de event log staat op e C schijf.. Die is meestal niet extreem groot, wel een goede reden om die groter te maken bij de volgende server installatie.
Pagina: 1
Reageer