pablovic
Goto Top

Auf TS protokollieren wer ein bestimmtes Programm startet

Hallo Admins
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.

Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.

Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet

Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?

Danke und Gruss
P.

Content-ID: 328805

Url: https://administrator.de/forum/auf-ts-protokollieren-wer-ein-bestimmtes-programm-startet-328805.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

emeriks
Lösung emeriks 08.02.2017 um 11:52:02 Uhr
Goto Top
Hi,
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Machst Du irgendwas falsch.

Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Ja, würde auch gehen. z.B. ein PS-Script, oder VBscript. Allerdings verhindert das nicht, dass jemand direkt über den Explorer zur Exe navigiert und diese dann startet.

Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...

E.
pablovic
pablovic 08.02.2017 um 16:39:13 Uhr
Goto Top
Machst Du irgendwas falsch.
Yep sieht so aus...

Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...

Das ist eigentlich genau das wonach ich suchte! Danke Emeriks.

Dabei fiel mir auf, dass auch auf dem Ordner "C:\Windows\WinSxS\FileMaps" eine Überwachung eingerichtet wurde.
Ist das so oder wurde die vor meiner Zeit eingerichtet?

PS: mit
Get-EventLog -LogName Security -InstanceId 4663 -Newest 1 | Select @{Name="UserName";Expression={ $_.ReplacementStrings[1,6] }}  
Hab ich Benutzer und Programm

Gruss
P.