erwin.t
Goto Top

Auswertung Logondaten

Hallo zusammen,

ich habe ein Anliegen, und zwar bräuchte ich für einen User eine Protokollierung seiner Anmeldezeiten, leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Das das Thema dem Datenschutz unterliegt ist mir bewusst, notwendige Punkte sind in diesem Fall erfüllt.

Vielen Dank und Grüße
Erwin

Content-ID: 348453

Url: https://administrator.de/forum/auswertung-logondaten-348453.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

Pjordorf
Pjordorf 07.09.2017 um 11:26:53 Uhr
Goto Top
Hallo,

Zitat von @erwin.t:
leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Du meinst das windows hier noch versteckte Logs schreibt die aber keiner kennt?
Du hast natürlich in deinen täglich gespeicherten und archivierten Logs schon geschaut (die du für genau diesen fall hast)? face-smile

Gruß,
Peter
kaiand1
kaiand1 07.09.2017 um 11:33:41 Uhr
Goto Top
Nun vermutlich gibt es keine Sicherung, Backups, Archivierung wie es bei vielen der Fall ist.
Selbst das Gesetzt zur Zwangs Archivierung wird ja von vielen weiterhin Missachtet.

Wenn es nicht am Server mehr nachvollziehbar ist und keine Älteren Backups, Archivierung..... gibt, musst du ohne Anmeldezeiten auskommen...

Hast du es mal am Client PC versucht ob da ggfs die Zeiten im Log stehen?
Penny.Cilin
Penny.Cilin 07.09.2017 um 12:09:13 Uhr
Goto Top
Hallo,

kläre zunächst folgende Fragen / Punkte:
  • Wie sind die Eigenschaften der Ereignisanzeige (Eventlog)?
    • Wie groß ist die maximal Protokollgröße?
    • Wie sind die Einstellungen bei Erreichen der maximalen Protokllgröße?

Passe nun die Einstellungen sinngemäß an. Wenn Du ältere Protokolle benötigst, kann man diese aus der Datensicherung wiederherstellen und zweck sNachvollziehbarkeit (temporär) importieren.


Gruss Penny
erwin.t
erwin.t 07.09.2017 um 13:03:02 Uhr
Goto Top
Vielen Dank für deine Infos, wie stelle ich denn das Sicherheitsprotokoll aus einer Datensicherung wieder her?
Penny.Cilin
Penny.Cilin 07.09.2017 um 13:54:42 Uhr
Goto Top
OK, weißt Du wenigstens wo die Protokolle der Ereignisanzeige gespeichert werden und wie diese heißen?
Deiner Frage nach zu schließen, fehlt Dir Grundwissen.
Du bist KEIN IT-Mitarbeiter oder Administrator?

Also:
Die Logs der Ereignisanzeige werden in der Regle im Pfad C:\Windows\System32\winevt\Logs gespeichert.
wenn Du Dir die Eigenschaften des Sicherheitsprotokolls anschaust, bekommst Du den Dateinamen und den Speicherpfad angezeigt (Das solltest Du wissen, wie es geht).

Jetzt von der Datensicherung das Sicherheitsprotokoll in einen beliebigen Pfad (z. Beisp. C:\temp) wiederherstellen.
In der Ereignisanzeige das Kontextmenue des Protokolls Sicherheit öffnen und den Menuepunkt Gespeicherte Protokolldatei öffnen auswählen.

Ist doch nicht so schwer, oder`?


Gruss Penny
emeriks
emeriks 07.09.2017 um 14:54:19 Uhr
Goto Top
Hi,
wenn der Benutzer nur an einem Computer arbeitet, dann kannst Du es auch über das lokale Sicherheits-Eventlog des Computers versuchen. Wenn mehrere Computer in Frage kommen, dann eben all diese.

E.