Перейти к публикации
  • Сейчас на странице   Всего пользователей: 1   (0 пользователей, 1 гость)

Likis

Журнал событий (лог действий) компьютера

Рекомендованные сообщения

В общем нужно посмотреть активность компьютера за последний месяц. Какие программы запускались и т.п. Машина не в домене. Интересует что есть еще кроме этого:

28bqQ

Поделиться сообщением


Ссылка на сообщение

Ну а что тебе ещё нужно, кроме радмина или тимвьювера?


 

The Republic of Belarus

den_flaga_i_gerba_Belarusi_2.jpg

1.JPG

 

 

 

16.10.2013

4R6Zv.png

 

Поделиться сообщением


Ссылка на сообщение

Ну а что тебе ещё нужно, кроме радмина или тимвьювера?

Ну, кто-то физически работал за машиной. Нужно выяснить время и какие программы. Тут только события, не то, что я думал.

Поделиться сообщением


Ссылка на сообщение

В общем нужно посмотреть активность компьютера за последний месяц. Какие программы запускались и т.п. Машина не в домене. Интересует что есть еще кроме этого:

28bqQ

нeт

 

и да, если чо, то события запуска приложений записываются в журнал Безопасность.

 

Event ID: 592

Type: Success Audit

Description: A new process has been created:

New Process ID: %1 Image File Name: %2

Creator Process ID: %3 User Name: %4

Domain: %5 Logon ID: %6

http://support.microsoft.com/kb/174074


Публикация отключена

Поделиться сообщением


Ссылка на сообщение

и да, если чо, то события запуска приложений записываются в журнал Безопасность.

 

Event ID: 592

Type: Success Audit

Description: A new process has been created:

New Process ID: %1 Image File Name: %2

Creator Process ID: %3 User Name: %4

Domain: %5 Logon ID: %6

http://support.microsoft.com/kb/174074

в "безопасность" я не нешёл ни единого события по процессам, а вот в "приложениях" немного есть

- System
 - Provider
  [ Name]  MsiInstaller

 - EventID 1040
  [ Qualifiers]  0

  Level 4

  Task 0

  Keywords 0x80000000000000

 - TimeCreated
  [ SystemTime]  2013-02-26T06:13:01.000000000Z

  EventRecordID 8518

  Channel Application

  Computer vaio

Поделиться сообщением


Ссылка на сообщение

ну ты первоначально настрой политику журналирования так, чтобы запуск процессов отслеживался


Публикация отключена

Поделиться сообщением


Ссылка на сообщение

ну так автору с его логами "за последний месяц" это всё-равно не поможет :nate:

Поделиться сообщением


Ссылка на сообщение

будет знать что в будущем делать


Публикация отключена

Поделиться сообщением


Ссылка на сообщение

ну ты первоначально настрой политику журналирования так, чтобы запуск процессов отслеживался

Настрою, но я спалил когда компьютер работал по логам НОДа. Журнал был удален, работал спец :hmm:

Поделиться сообщением


Ссылка на сообщение

ну ты первоначально настрой политику журналирования так, чтобы запуск процессов отслеживался

Настрою, но я спалил когда компьютер работал по логам НОДа. Журнал был удален, работал спец :hmm:

а зачем кого-то было пускать на компьютер под учетной запсиью с правами локального администратора?


Публикация отключена

Поделиться сообщением


Ссылка на сообщение

ну ты первоначально настрой политику журналирования так, чтобы запуск процессов отслеживался

Настрою, но я спалил когда компьютер работал по логам НОДа. Журнал был удален, работал спец :hmm:

а зачем кого-то было пускать на компьютер под учетной запсиью с правами локального администратора?

Это комп был без пароля. Тут на лицо факт физического проникновения на объект

Поделиться сообщением


Ссылка на сообщение

комп без пароля. ну тут двери действительно можно и не запирать.


Публикация отключена

Поделиться сообщением


Ссылка на сообщение

можно еще чай/кофе предложить

Поделиться сообщением


Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

×
×
  • Создать...