Felhasználói bejelenkezések naplózása

Munkacsoport vagy tartományról beszélünk? Ha a kiszolgálón akarod megnézni, gondolom utóbbi, de ugye a DC-ről van szó?

Tartományról van szó. Igen a DC-n szeretném megnézni ( Windows Server 2012 R2 )

Ha tudod a konkrét munkaállomást, akkor én azon nézném meg, a Security naplóban. Úgy akkor “szűrted” – ha nem, akkor meg kellene nézni, hogy házirendben milyen naplózás van beállítva.

A munkaállomáson már néztem ( az volt az első, hogy ott megnéztem), de onnantól, hogy be lett léptetve domainba nem látszanak a ki és bejelentkezések, csak ilyen bejegyzések vannak: folyamat létrehozása, a szolgáltatás leáll.

Megnéztem a szerveren a naplózási beállításokat, egyáltalán nincs beállítva a ki és bejelentkezések naplózása…..sajnos. Ez van ha az ember egy kész rendszert kap.

No de majd mostantól, miután beállítottad 🙂 De ugye a Security-t nézed (csak mert úgy tudom, hogy a szolgáltatások indítása/leállítása a System-ben van)?

Igen, ott néztem.

Azt hol tudom beállítani, hogy a naplózott bejelentkezéseket egy hét után automatikusan törölje?

Ütemezett feladattal, természetesen megfelelő jogokkal:

https://technet.microsoft.com/en-us/library/cc722318(v=ws.11).aspx

Vagy csoportházirendben Security settings/Event log beállításokban.

Azt hogy tudom majd megnézni, hogy melyik gépre, mikor ki jelentkezett be? Nekem és lenne a legfontosabb.

Ha bekapcsoltad a logolást, elég sok lehetőséged lesz. Pl. nézed a 4776 ID-t (Credential Validation):

”

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Andi

Source Workstation: MARK

Error Code: 0x0″

Vagy 4769, Kerberos Service Ticket:

”

A Kerberos service ticket was requested.

Account Information:

Account Name: Andi@domain.local

Account Domain: domain.LOCAL

Logon GUID: {e345af38-d97a-95ad-7438-d1fa4711}

…

Network Information:

Client Address: ::ffff:1.2.3.111

Client Port: 62181″

Köszönöm a segítséget 🙂

holnap letesztelem