请教高人 Windows Server Logon Monitor

Coolioo · 发表于 13-6-2008 12:37:25

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？FreeOZ用户注册

x

我想监控一台Windows Server 2003 服务器，记录所有用户登录的时间和IP，有没有现成软件可以用的？

或者如何自己写代码？请高手给指个方向，谢谢。

NEWGAY · 发表于 15-6-2008 01:51:53

windows 2003 server 的 auditing 和log

NEWGAY · 发表于 15-6-2008 02:07:19

怎么登陆的远程、本地、网络还是dial-in ？

MSPro · 发表于 15-6-2008 19:24:48

windows 2003 server 的 security auditing log 好像不能记录IP...

[ 本帖最后由 MSPro 于 15-6-2008 19:28 编辑 ]

shuizhongfp · 发表于 1-8-2008 18:43:42

如果想自己写程序得话，可以做到，但是是否有现成的软件就不清楚了。
可以自己写个服务程序，在服务里面可以向系统注册你要监视用户登录的事件，如果有用户登录，或者切换用户，系统会通过你定义的回调函数告诉你，然后你可以枚举当前Session的信息，当然就可以得到登录者的用户名及ip了（你可以看一下HandlerEx的帮助）。
还有一个方式就是实现ISensLogon接口，然后向系统注册，不过同样要求你自己得到登录者的详细信息。

shuizhongfp · 发表于 1-8-2008 19:21:19

其实还有一种办法，就是windows logon notification dll，这要求你自己写个dll，然后写到注册表的指定位置，但是这种方法在Vista之后不支持了。

coredump · 发表于 1-8-2008 23:55:08

NEWGAY · 发表于 2-8-2008 00:38:10

可以能记录IP。

open default domain controllers policy GPO
auditing setting
doubleclick Audit account logon events to view properties
in th audit these attempts section, 选择你要的条件

double click Audit object access to view properties
in th audit these attempts section, 选择你要的条件

close group policy editor, domain controller properties dialog box, and active directory users and computers
run gpupdate.exe

在event viewer 的 security log 中
打开event，查看detail：
包括：
date
time
source:
type:
user:
computer:
在description box里可以看到：
user name:
user ID:
service Name:
Pre-authentication type:
Failure Code:
client Address:127.0.0.1(本地验证失败)

NEWGAY · 发表于 2-8-2008 00:40:00

可以用程序分析这个security log，过滤出目标event

shuizhongfp · 发表于 5-8-2008 19:00:20

分析系统日志确实也是一种好办法。

		自动登录	找回密码
密码			FreeOZ用户注册

FreeOZ

[Windows] 请教高人 Windows Server Logon Monitor

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

回复 #1 Coolioo 的帖子

如果想自己写程序得话，可以做到，但是是否有现成的软件就不清楚了

还有一种办法

回复 #6 shuizhongfp 的帖子

回复 #9 NEWGAY 的帖子