Audit log 2008 server
Fermé
audi
-
29 mars 2015 à 15:02
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 29 mars 2015 à 16:50
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 29 mars 2015 à 16:50
A voir également:
- Audit log 2008 server
- Ps3 media server - Télécharger - Divers Réseau & Wi-Fi
- Filezilla server - Télécharger - Téléchargement & Transfert
- Mysql community server - Télécharger - Bases de données
- Serviio media server - Télécharger - TV & Vidéo
- Wamp server - Télécharger - Divers Web & Internet
1 réponse
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 29/03/2015 à 16:53
Modifié par kelux le 29/03/2015 à 16:53
Bonjour,
Il faut activer l'audit sur les contrôleurs de domaine via GPO.
(une recherche sur le net donnera la procédure exacte).
Ensuite il faudra regarder dans les logs sécurité des contrôleurs de domaine.
Et là il faut chercher les évènements correspondants aux login/logoff :
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc787567(v=ws.10)?redirectedfrom=MSDN
De mémoire je ne les connais pas, une fois encore un peu de travail d'observation sur les logs et le tour est joué...
Les logs sécurité se remplissent vite (et se vident vite par défaut), il faut penser à les requeter cycliquement pour récupérer les infos de connexions.
On utilise parfois du logparser avec une tache planifiée.
Après il y a d'autres outils apparentés au bigdata (type splunk ou couple kibana/elasticsearch/logstash) qui permettraient de le faire et de les exploiter.
Ne surtout pas monter les logs windows à plus de 256 Mega, après ça devient tellement lourd que c'est très lent. Généralement je mets pas plus de 128Mo la taille max du fichier.
Il y a aussi la possibilité de faire de la rotation de logs windows. (cf une recherche sur le net ...)
-
Sinon la méthode à l'ancienne, c'est de récupérer via des loginscripts/logoffscripts les heures de login/logout avec un simple export dans un fichier texte.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Il faut activer l'audit sur les contrôleurs de domaine via GPO.
(une recherche sur le net donnera la procédure exacte).
Ensuite il faudra regarder dans les logs sécurité des contrôleurs de domaine.
Et là il faut chercher les évènements correspondants aux login/logoff :
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc787567(v=ws.10)?redirectedfrom=MSDN
De mémoire je ne les connais pas, une fois encore un peu de travail d'observation sur les logs et le tour est joué...
Les logs sécurité se remplissent vite (et se vident vite par défaut), il faut penser à les requeter cycliquement pour récupérer les infos de connexions.
On utilise parfois du logparser avec une tache planifiée.
Après il y a d'autres outils apparentés au bigdata (type splunk ou couple kibana/elasticsearch/logstash) qui permettraient de le faire et de les exploiter.
Ne surtout pas monter les logs windows à plus de 256 Mega, après ça devient tellement lourd que c'est très lent. Généralement je mets pas plus de 128Mo la taille max du fichier.
Il y a aussi la possibilité de faire de la rotation de logs windows. (cf une recherche sur le net ...)
-
Sinon la méthode à l'ancienne, c'est de récupérer via des loginscripts/logoffscripts les heures de login/logout avec un simple export dans un fichier texte.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....