Auswertung Logondaten
Hallo zusammen,
ich habe ein Anliegen, und zwar bräuchte ich für einen User eine Protokollierung seiner Anmeldezeiten, leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Das das Thema dem Datenschutz unterliegt ist mir bewusst, notwendige Punkte sind in diesem Fall erfüllt.
Vielen Dank und Grüße
Erwin
ich habe ein Anliegen, und zwar bräuchte ich für einen User eine Protokollierung seiner Anmeldezeiten, leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Das das Thema dem Datenschutz unterliegt ist mir bewusst, notwendige Punkte sind in diesem Fall erfüllt.
Vielen Dank und Grüße
Erwin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348453
Url: https://administrator.de/forum/auswertung-logondaten-348453.html
Ausgedruckt am: 26.12.2024 um 12:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Du hast natürlich in deinen täglich gespeicherten und archivierten Logs schon geschaut (die du für genau diesen fall hast)?
Gruß,
Peter
Zitat von @erwin.t:
leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Du meinst das windows hier noch versteckte Logs schreibt die aber keiner kennt?leider reicht das Security Protokoll am DC nicht so weit zurück wie ich es bräuchte, habt ihr einen Tipp für mich, wo ich es sonst noch raußziehen könnte?
Du hast natürlich in deinen täglich gespeicherten und archivierten Logs schon geschaut (die du für genau diesen fall hast)?
Gruß,
Peter
Nun vermutlich gibt es keine Sicherung, Backups, Archivierung wie es bei vielen der Fall ist.
Selbst das Gesetzt zur Zwangs Archivierung wird ja von vielen weiterhin Missachtet.
Wenn es nicht am Server mehr nachvollziehbar ist und keine Älteren Backups, Archivierung..... gibt, musst du ohne Anmeldezeiten auskommen...
Hast du es mal am Client PC versucht ob da ggfs die Zeiten im Log stehen?
Selbst das Gesetzt zur Zwangs Archivierung wird ja von vielen weiterhin Missachtet.
Wenn es nicht am Server mehr nachvollziehbar ist und keine Älteren Backups, Archivierung..... gibt, musst du ohne Anmeldezeiten auskommen...
Hast du es mal am Client PC versucht ob da ggfs die Zeiten im Log stehen?
Hallo,
kläre zunächst folgende Fragen / Punkte:
Passe nun die Einstellungen sinngemäß an. Wenn Du ältere Protokolle benötigst, kann man diese aus der Datensicherung wiederherstellen und zweck sNachvollziehbarkeit (temporär) importieren.
Gruss Penny
kläre zunächst folgende Fragen / Punkte:
- Wie sind die Eigenschaften der Ereignisanzeige (Eventlog)?
- Wie groß ist die maximal Protokollgröße?
- Wie sind die Einstellungen bei Erreichen der maximalen Protokllgröße?
Passe nun die Einstellungen sinngemäß an. Wenn Du ältere Protokolle benötigst, kann man diese aus der Datensicherung wiederherstellen und zweck sNachvollziehbarkeit (temporär) importieren.
Gruss Penny
OK, weißt Du wenigstens wo die Protokolle der Ereignisanzeige gespeichert werden und wie diese heißen?
Deiner Frage nach zu schließen, fehlt Dir Grundwissen.
Du bist KEIN IT-Mitarbeiter oder Administrator?
Also:
Die Logs der Ereignisanzeige werden in der Regle im Pfad C:\Windows\System32\winevt\Logs gespeichert.
wenn Du Dir die Eigenschaften des Sicherheitsprotokolls anschaust, bekommst Du den Dateinamen und den Speicherpfad angezeigt (Das solltest Du wissen, wie es geht).
Jetzt von der Datensicherung das Sicherheitsprotokoll in einen beliebigen Pfad (z. Beisp. C:\temp) wiederherstellen.
In der Ereignisanzeige das Kontextmenue des Protokolls Sicherheit öffnen und den Menuepunkt Gespeicherte Protokolldatei öffnen auswählen.
Ist doch nicht so schwer, oder`?
Gruss Penny
Deiner Frage nach zu schließen, fehlt Dir Grundwissen.
Du bist KEIN IT-Mitarbeiter oder Administrator?
Also:
Die Logs der Ereignisanzeige werden in der Regle im Pfad C:\Windows\System32\winevt\Logs gespeichert.
wenn Du Dir die Eigenschaften des Sicherheitsprotokolls anschaust, bekommst Du den Dateinamen und den Speicherpfad angezeigt (Das solltest Du wissen, wie es geht).
Jetzt von der Datensicherung das Sicherheitsprotokoll in einen beliebigen Pfad (z. Beisp. C:\temp) wiederherstellen.
In der Ereignisanzeige das Kontextmenue des Protokolls Sicherheit öffnen und den Menuepunkt Gespeicherte Protokolldatei öffnen auswählen.
Ist doch nicht so schwer, oder`?
Gruss Penny