log sessions sur un domaine 2003
log sessions sur un domaine 2003 - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 12-10-2007 à 08:29:12
C'est le Audit Account logon events la gpo pour voir les sessions utilisateur ouvertes
Marsh Posté le 12-10-2007 à 13:56:28
ok, c'est déjà mieux. Mais il reste toujours un certain nombre d'événements pas spécialement intéressants : les requêtes/demandes de tickets (des poste clients). Je vais faire avec.
Marsh Posté le 22-10-2007 à 09:08:23
je reviens à la charge car en fait ça ne marche que très partiellement :
- sur un heure dans la journée je vais avoir toutes les connexions de comptes loggées.
- ce matin entre 8h et 8h15, à peu près 30 personnes se sont connectées sur leur machine, mais absolument rien dans l'observateur d'événements.
Marsh Posté le 22-10-2007 à 09:57:59
peut etre qu'il est plein ton log non ?
Mais effectivement, avoir juste les infos qu'on veut, c'est tres tres tres galere ...
J'avais vite fait cherché un coup mais sans succès et puis j'ai laissé tombé ... mais ca m'interesse !
Marsh Posté le 23-10-2007 à 15:42:02
le journal n'est pas plein. Tout est OK hors mis le fait qu'il ne me log pas toutes les connexions aux comptes (beaucoup sont oubliées).
et le lien donné par ShonGail mène à une page d'erreur
Marsh Posté le 23-10-2007 à 16:05:09
ok 
tu peux trouver l'exe ici :
http://www.edelx.net/freedownload/Logsession.exe
Il faut le lancer avec 3 paramètres :
1. un texte qui va apparaitre avant les infos techniques de l'ouverture de session
2. le chemin du fichier de log
3. un temps en secondes entre le lancement de la commande et l'inscription effective dans le fichier de log (cette option m'a été nécessaire avec les postes clients en 95/98. Dans le script de connexion, je lançais d'abord la commande putinenv pour créer les variables COMPUTERNAME et USERNAME qui n'existent pas par défaut puis le logsession.exe ensuite. Visiblement, il fallait un temps de latence important entre les deux. Sinon la récupération des variables echouait. J'avais défini ce temps de pause à 5 secondes).
Du coup, la commande donne par exemple ceci :
Logsession.exe OUVERTURE d:\log.txt 5
ce qui donnera dans le fichier log.txt :
OUVERTURE 24/03/2005 19:32:59 192.168.0.1 CHAOS shongail
Bien sur on peut placer cette commande dans un script de déconnexion (GPO ou autre) avec "FERMETURE" en 1er paramètre et le chemin peut être un chemin réseau du style "\\controleurdedomaine\log$\Log.txt"
Sujets relatifs:
- Ghost 2003 Noms de lecteurs réseaux
- Freez Aléatoire Win Serveur 2003
- Problème VPN Windows server 2003
- [Exchange 2003] doublons messages
- [Exchange 2003] Adresse mail sur dossier public
- plusieurs noms de domaine avec une adresse
- Probleme VIsta Administrateur du domaine copie fichier
- exchange 2003 probleme reception
- Réplication dossier public vers dossier personnel sous exchange 2003
- Windows 2003 - Restriction horaire
Marsh Posté le 12-10-2007 à 08:09:10
Bonjour,
le réseau marche parfaitement et j'aimerais dans la mesure du possible logger les ouvertures et fermetures des sessions utilisateurs (afin de savoir qui était dans telle ou telle salle en cas de problème)..
J'ai alors coché "Réussite"/"Échec" au "Événements de connexion" dans "stratégie de sécurité du contrôleur de domaine".
Problèmes :
- journal de sécurité plein au bout de 6 jours (390.000 événements, 128Mo) !
- énormément d'infos qui servent à rien EventID (576, 538) (l'utilisateur est SYSTEM et dans mon cas, l'info est gratuite et pollue fortement)
- dans l'EventID le plus intéressant (540), il y a beaucoup de fois l'utilisateur SYSTEM ou des fois aucun login. Trop peu de vrai connexions utilisateurs.
Question : Comment logger le plus simplement possible les ouvertures/fermetures de sessions sur le domaine (heure/date, login, nom d'hôte/ip) ? (en utilisant les stratégies de sécu,GPO windows...ou n'importe quelle autre soft)
merci par avance.