pablovic
08.02.2017
view1434
view2
0
Goto Top

Auf TS protokollieren wer ein bestimmtes Programm startet

gelöstFrageMicrosoftWindows Server
Hallo Admins
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.

Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.

Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet

Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?

Danke und Gruss
P.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 328805

Url: https://administrator.de/contentid/328805

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
emeriks
Lösung emeriks 08.02.2017 um 11:52:02 Uhr
Goto Top
Hi,
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Machst Du irgendwas falsch.

Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Ja, würde auch gehen. z.B. ein PS-Script, oder VBscript. Allerdings verhindert das nicht, dass jemand direkt über den Explorer zur Exe navigiert und diese dann startet.

Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...

E.
pablovic
pablovic 08.02.2017 um 16:39:13 Uhr
Goto Top
Machst Du irgendwas falsch.
Yep sieht so aus...

Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...

Das ist eigentlich genau das wonach ich suchte! Danke Emeriks.

Dabei fiel mir auf, dass auch auf dem Ordner "C:\Windows\WinSxS\FileMaps" eine Überwachung eingerichtet wurde.
Ist das so oder wurde die vor meiner Zeit eingerichtet?

PS: mit
Get-EventLog -LogName Security -InstanceId 4663 -Newest 1 | Select @{Name="UserName";Expression={ $_.ReplacementStrings[1,6] }}
Hab ich Benutzer und Programm

Gruss
P.
gelöstFrageMicrosoftWindows Server
Mehr von pablovicpablovicSpanning Tree Packete verwerfen am Switchpablovic - 8 KommentarepablovicNetzwerkauslastung NIC für eine Wochepablovic - 3 KommentarepablovicSachbuch durcharbeitenpablovic - 11 KommentarepablovicClient von wo aus sich jemand an der Domäne authentifiziert loggenpablovic - 6 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare