Входящие Горячие Популярные Без ответа

Active directory Экспорт журнала

Чулан
Привет.
Есть список аккаунтов ( 500 штук ) для которых нужно получить выписку из EventLog контроллера домена — интересуют события logon & logoff
Всего в домене ооооооочень много записей и экспортировать весь EventLog идея безнадежная — слишком много данных и нет фильтра по аккаунтам ( возможно не нашел), да и руками в фильтре 500 человек выбирать неудобно
Я знаю их treebase и objectClass — если это поможет

Хочется узнать — есть ли какой то способ решить мою проблему? какие есть программные решения или можеи Gui позволяющие легко это сделать

В качестве допущения представим что мы администратор домена со всеми правами
7 февраля в 00:40
sadgb 0,5
UPD. мы программа и работаем не на контроллере домена, но у нас есть учетка администратора домена, sadgb,
UPD. Принятое решение
нужно было сделать на ruby чтобы работал на Windows машине

Использовал следующие WinApi функции

@@open_event_log = Win32API.new('Advapi32','OpenEventLog',['P', 'P'],'I')
@@get_number_of_event_log_records = Win32API.new('Advapi32','GetNumberOfEventLogRecords',['I', 'P'],'I')
@@read_event_log = Win32API.new('Advapi32','ReadEventLog',['I', 'I','I','P','I','P', 'P'],'I')
@@get_last_error = Win32API.new('Kernel32', 'GetLastError',[], 'I') sadgb,

отсортировано по дате по оценке
ответы (3)

0
navion #
решение
События входа в систему можно выловить по идентификаторам 528 и 540. Тут есть пара скриптов, которые анализируют журнал событий:
social.technet.microsoft.com/Forums/eu/winserverTS/thread/c4403e93-3f13-4bcb-add7-a0864085307c
С выходом всё сложнее, так как они регистрируются только в журнале клиентских компьютеров — придётся настраивать подписку на их журналы событий либо обходить компьютеры скриптом. navion, 7 февраля в 03:13
Скрипты хороши, а можно их выполнить удаленно? Скажем усложним задачу — мы программа и работаем не на контроллере домена, но у нас есть учетка администратора домена, sadgb, 7 февраля в 10:17
Должны заработать, если заменить целевую систему на имя удалённого КД. navion, 7 февраля в 10:28
Вписал айпишник — пишет компьютер удаленного сервера не существует или недоступен
Вписал айпишник текущего компа — работает
Открыл просмотрщик событий и вписал айпи удаленного компа — работает sadgb, 7 февраля в 12:22
Возможно что-то не так с аутентификацией, там для некоторый операций требуется указывать шифрование в GetObject:
GetObject("winmgmts:" & "{authenticationLevel=PktPrivacy}!\\" & strComputer & "\root\cimv2") navion, 7 февраля в 16:41
0
AlexZaharow #
решение
Хочу сделать небольшой комментарий к этой проблеме. В принципе работать с журналом windows не только на контроллере домена, но и даже на простом компьютере — засада ещё та. Желание обработать журнал превращается в проблему не только с logon/logoff, т.к. связь событий друг с другом отследить очень трудно. К таким событиям лучше готовиться заранее, а не тогда, когда проблема встала в полный рост. Кстати, предложение импорта/экспорта в вашей ситуации не лишено смысла, т.к. нужен хороший текстовый редактор, который может переварить объём текста в 100-200МБайт. Такой есть — EditPadPro. Не бесплатный, конечно, но… рекомендую. У него ещё и регулярные выражения есть. Это очень упростит задачу.
0
Dal #
решение
PowerShell попробовать.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Прямой эфир ↓
Alex2ndrИспользование Arduino UNO в качестве программатора 5
DerailedВсегда рядом, или почему я ушел от Сбербанка 277
DreadatourТермометр с прогнозом погоды 13
wearboФото офиса Facebook в Menlo Park 55
OgraЖизнь без объектов 114
GolСамый глубокий Сайт 19
fuCtor«Умные» часы MetaWatch для любителей гаджетов 13
kasheyЛокализация точки в выпуклом многоугольнике 41
dijayСоздание анимированного 3D Шара на CSS3 20
itdevelopСоздание простейшего приложения на Java 2 7
Похожие вопросы ↓
Active directory Экспорт журнала
Проблемы во взаимодействии sssd, kerberos, active directory
Проблема с DHCP-сервером в Active Directory
Windows Active Directory (сценарии вход/выход)
Сетевые принтеры в Active Derictory
Active Admin. Как присваивать текущего пользователя записи при её создании?
Можно ли root directory nginx настроить на репозиторий svn
Посоветуйте движок для форума с авторизацией в AD
Настройки FireFox и GoogleChrome для авторизации по SPNEGO/Kerberos из другого домена
Лицензирование Windows Server
Лучшее за 24 часа
Toster Жизнь без объектов
Локализация точки в выпуклом многоугольнике
Вещи, о которых следует помнить, программируя на Python
Разрабатываем модуль PHP на C++. Часть 1: экскурс в мир Zend Engine 2
Всегда рядом, или почему я ушел от Сбербанка
Полнометражный документальный фильм о демосцене: The Art Of The Algorithms
Как работает приложение InstaCRT?
Патефон ПТ-3: обзор, характеристики и демонстрация работы. Год выпуска — 1935
Запрограммируем вакансию
Новый виток архитектуры CUDA
« все лучшие