Auf TS protokollieren wer ein bestimmtes Programm startet
Hallo Admins
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet
Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?
Danke und Gruss
P.
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet
Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?
Danke und Gruss
P.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328805
Url: https://administrator.de/forum/auf-ts-protokollieren-wer-ein-bestimmtes-programm-startet-328805.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar
Hi,
Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
E.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Machst Du irgendwas falsch.Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Ja, würde auch gehen. z.B. ein PS-Script, oder VBscript. Allerdings verhindert das nicht, dass jemand direkt über den Explorer zur Exe navigiert und diese dann startet.Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
E.