Active directory Экспорт журнала

Question

[sadgb]

Привет.
Есть список аккаунтов ( 500 штук ) для которых нужно получить выписку из EventLog контроллера домена — интересуют события logon & logoff
Всего в домене ооооооочень много записей и экспортировать весь EventLog идея безнадежная — слишком много данных и нет фильтра по аккаунтам ( возможно не нашел), да и руками в фильтре 500 человек выбирать неудобно
Я знаю их treebase и objectClass — если это поможет

Хочется узнать — есть ли какой то способ решить мою проблему? какие есть программные решения или можеи Gui позволяющие легко это сделать

В качестве допущения представим что мы администратор домена со всеми правами

Comments

[sadgb]

UPD. мы программа и работаем не на контроллере домена, но у нас есть учетка администратора домена,

[sadgb]

UPD. Принятое решение
нужно было сделать на ruby чтобы работал на Windows машине

Использовал следующие WinApi функции

@@open_event_log = Win32API.new('Advapi32','OpenEventLog',['P', 'P'],'I')
@@get_number_of_event_log_records = Win32API.new('Advapi32','GetNumberOfEventLogRecords',['I', 'P'],'I')
@@read_event_log = Win32API.new('Advapi32','ReadEventLog',['I', 'I','I','P','I','P', 'P'],'I')
@@get_last_error = Win32API.new('Kernel32', 'GetLastError',[], 'I')

Answer 1

[navion]

События входа в систему можно выловить по идентификаторам 528 и 540. Тут есть пара скриптов, которые анализируют журнал событий:
social.technet.microsoft.com/Forums/eu/winserverTS/thread/c4403e93-3f13-4bcb-add7-a0864085307c

Comments

[navion]

С выходом всё сложнее, так как они регистрируются только в журнале клиентских компьютеров — придётся настраивать подписку на их журналы событий либо обходить компьютеры скриптом.

[sadgb]

Скрипты хороши, а можно их выполнить удаленно? Скажем усложним задачу — мы программа и работаем не на контроллере домена, но у нас есть учетка администратора домена,

[navion]

Должны заработать, если заменить целевую систему на имя удалённого КД.

[sadgb]

Вписал айпишник — пишет компьютер удаленного сервера не существует или недоступен
Вписал айпишник текущего компа — работает
Открыл просмотрщик событий и вписал айпи удаленного компа — работает

[navion]

Возможно что-то не так с аутентификацией, там для некоторый операций требуется указывать шифрование в GetObject:
GetObject("winmgmts:" & "{authenticationLevel=PktPrivacy}!\\" & strComputer & "\root\cimv2")

Answer 2

[Alex XYZ]

Хочу сделать небольшой комментарий к этой проблеме. В принципе работать с журналом windows не только на контроллере домена, но и даже на простом компьютере — засада ещё та. Желание обработать журнал превращается в проблему не только с logon/logoff, т.к. связь событий друг с другом отследить очень трудно. К таким событиям лучше готовиться заранее, а не тогда, когда проблема встала в полный рост. Кстати, предложение импорта/экспорта в вашей ситуации не лишено смысла, т.к. нужен хороший текстовый редактор, который может переварить объём текста в 100-200МБайт. Такой есть — EditPadPro. Не бесплатный, конечно, но… рекомендую. У него ещё и регулярные выражения есть. Это очень упростит задачу.

Answer 3

[Dal]

PowerShell попробовать.