FreeOZ论坛

标题: 请教高人 Windows Server Logon Monitor [打印本页]

作者: Coolioo 时间: 13-6-2008 13:37
标题: 请教高人 Windows Server Logon Monitor
我想监控一台Windows Server 2003 服务器，记录所有用户登录的时间和IP，有没有现成软件可以用的？

或者如何自己写代码？请高手给指个方向，谢谢。

作者: NEWGAY 时间: 15-6-2008 02:51
windows 2003 server 的 auditing 和log

作者: NEWGAY 时间: 15-6-2008 03:07
标题: 回复 #1 Coolioo 的帖子
怎么登陆的远程、本地、网络还是dial-in ？

作者: MSPro 时间: 15-6-2008 20:24
windows 2003 server 的 security auditing log 好像不能记录IP...

[ 本帖最后由 MSPro 于 15-6-2008 19:28 编辑 ]

作者: shuizhongfp 时间: 1-8-2008 19:43
标题: 如果想自己写程序得话，可以做到，但是是否有现成的软件就不清楚了
如果想自己写程序得话，可以做到，但是是否有现成的软件就不清楚了。
可以自己写个服务程序，在服务里面可以向系统注册你要监视用户登录的事件，如果有用户登录，或者切换用户，系统会通过你定义的回调函数告诉你，然后你可以枚举当前Session的信息，当然就可以得到登录者的用户名及ip了（你可以看一下HandlerEx的帮助）。
还有一个方式就是实现ISensLogon接口，然后向系统注册，不过同样要求你自己得到登录者的详细信息。

作者: shuizhongfp 时间: 1-8-2008 20:21
标题: 还有一种办法
其实还有一种办法，就是windows logon notification dll，这要求你自己写个dll，然后写到注册表的指定位置，但是这种方法在Vista之后不支持了。

作者: coredump 时间: 2-8-2008 00:55
标题: 回复 #6 shuizhongfp 的帖子

作者: NEWGAY 时间: 2-8-2008 01:38
可以能记录IP。

open default domain controllers policy GPO
auditing setting
doubleclick Audit account logon events to view properties
in th audit these attempts section, 选择你要的条件

double click Audit object access to view properties
in th audit these attempts section, 选择你要的条件

close group policy editor, domain controller properties dialog box, and active directory users and computers
run gpupdate.exe

在event viewer 的 security log 中
打开event，查看detail：
包括：
date
time
source:
type:
user:
computer:
在description box里可以看到：
user name:
user ID:
service Name:
Pre-authentication type:
Failure Code:
client Address:127.0.0.1(本地验证失败)

作者: NEWGAY 时间: 2-8-2008 01:40
可以用程序分析这个security log，过滤出目标event

作者: shuizhongfp 时间: 5-8-2008 20:00
标题: 回复 #9 NEWGAY 的帖子
分析系统日志确实也是一种好办法。

欢迎光临 FreeOZ论坛 (https://www.freeoz.org/forum/)