資安論壇

我在網路上有看到一篇Microsoft Windows 命令介紹 : auditusr.exe 與稽核原則
可以針對某些特定帳戶(例如administrator) 記錄其登入登出的事件, 但裏面提到Windows XP SP2,Windows 2003 SP1, 加入為特定使用者設定稽核原則的功能與工具auditusr.exe

除了這個方法 , 不知是否還有其它做法呢?

eventlog可以作監控~~windows 2008就有內建eventtrigger的樣子
如果要整合稽核~~當年我們是作MOM~~

_________________
想怎麼收穫~就得怎麼栽~
本人不提供免費諮詢服務~謝謝指教~
準備淡出中~~

我知道可以設eventlog, 但因為不想記錄所有帳戶, 一來會佔空間, 二來有些帳戶的登入登出記錄也不是重點, 所以才想請教各位專家是否有其他方式
另外想請教, 什麼是MOM?

兩招~~
1:每天分析eventlog~~把你要的資料filter~~但是風險就是資料無法完整保存一天~~造成某些移失(eventquery.vbs)
2:用WMI監控EVENTLOG的活動作即時監控(WIN32_NTLOGEVENT不確定有沒有拼錯)~~一樣即時把資料分析出來~~
MOM是微軟的一個套件~~玩到最後~~你還是會遇到DB過大的問題~~MOM好像後期變成另外一套了~~跟SMS整合起來的樣子~~請google看看~~
花錢還是花時間請自己決定~~

_________________
想怎麼收穫~就得怎麼栽~
本人不提供免費諮詢服務~謝謝指教~
準備淡出中~~