Включение аудита в Win2K
Auditlog зависит от Security log, видимого в Win2K Event Viewer. Поэтому прежде чем вы можете использовать auditlog, вы должны разрешить аудит Win2K, который управляется через групповую политику. Для разрешения аудита для OU серверов MetaFrame, в Directory Users and Computers щелкните правой кнопкой мыши OU, выберите из контекстного меню Properties, выбирите вкладку Group Policy и добавьте новый GPO с именем Auditing, как показано на рисунке.
Теперь, когда у вас есть GPO, вам следует добавить политику. Щелкните Edit для открытия окна редактора политик и найдите раздел Auditing.
Если вы дважды щелкните на политике для определения ее настроек, то откроется окно:
Хотя обычно не используют аудит успешных подключений, это поможет отслеживать пользовательские сеансы. Установите оба флажка Success и Failure и щелкните OK, выйдите из редактора политик и обновите политики, примененные к OU.
Если вы не используете домен Win2K, вы все равно можете включить аудит серверов. В панели управления откройте апплет Administrative Tools, откройте Local Computer Policy и найдите в разделе Local Policies политику Audit Policy:
Теперь аудит настроен и вы можете использовать утилиту auditlog. Мы начнем с получения полного списка всей активности входа на сервере MetaFrame, введя команду auditlog без параметров: auditlog
DOMAIN\USERNAME EVENT TIME REDROOM\Administrator Logon OK 4/8/2002 12:43 REDROOM\Scott Logon OK 4/8/2002 12:41 REDROOM\Bill Logon Fail 4/8/2002 12:41 Reason: Unknown user name or bad password REDROOM\Administrator Logoff 4/8/2002 12:40 REDROOM\Administrator Logon OK 4/8/2002 12:38 REDROOM\ChristaA Logon OK 4/8/2002 12:37 REDROOM\ChristaA Logoff 3/29/2002 17:56 REDROOM\ChristaA Logon OK 3/29/2002 17:56 REDROOM\Administrator Logoff 3/29/2002 17:48 REDROOM\Administrator Logon OK 3/29/2002 17:47 REDROOM\ChristaA Logoff 3/27/2002 20:54 REDROOM\ChristaA Logon OK 3/27/2002 20:54
Как видно, запуск auditlog без параметров дает вывод всех подключений и разъединений от сервера MetaFrame. (Я использую термин "разъединения" намеренно; в этом режиме auditlog не различает между выходами из системы и разъединением - оба показываются здесь как выходы из системы.). Для небольшого числа записей этот вывод приемлим, но месяцы аудита на сильно используемом сервере MetaFrame привели бы к созданию слишком большого файла, который сложно быстро просмотреть, да и информация организована не очень хорошо, чтобы прочесть много записей. Утилита имеет несколько опций, которые вы можете использовать для фильтрации или расширения записей:
Опция | Описание |
/AFTER:mm/dd/yy |
Активность входа в систему/выхода из системы и типы соединений для всех учетных записей (не используется совместно с /FAIL). | |
/BEFORE:mm/dd/yy | |
Очищает журнал событий и сохраняет старый журнал в файл с указанным именем. | |
Обеспечивает подробный отчет о всей активности (не используется совместно с /TIME). | |
/EVENTLOG:filename | |
Сообщения только о неудачных входах в систему и причине неудачи. | |
Разбивает отчет по пользователям, указывая время входа и выхода, а также суммарное время, которое каждый пользователь провел на сервере MetaFrame (не используется совместно с /FAIL или /DETAIL).. | |
Сохраняет вывод в текстовый файл с указанным именем. Можно указывать имена UNC и отображенный диски. | |
session | Судя по смыслу, позволяет сделать отчет по сеансам, но я не нашел идентификатор или имя сеанса, которые бы работали с утилитой. Ни session ID, ни имя сеанса не дали никакого вывода. |
username | Имя пользователя, для которого следует получить отчет. Отчет будет включать все сеансы указанного пользователя. Работает как для успешных, так и неудачных попыток входа. |
auditlog /time username
Расширение информации аудита
Auditlog сам по себе дает не слишком много информации - вы можете видеть, когда происходило подключение и отключение, и все. Вы можете заставить auditlog выдавать более подробную инфрмацию. Будьте осторожными, запрашивая информацию - вы ее можете получить.
Опция /all заставляет перечислять все соединения с сервером MetaFrame, включая непользовательские, например, от NT AUTHORITY. События NT Authority\Anonymous Logon вглядят так, словно кто-то пытался прорваться на ваш сервер, но это всего лишь фиксация успешных входов (Event ID 540 ) и выходов (Event ID 538). Опция /all также перечисляет типы подключений и разъединений, поэтому вы можете использовать эту опцию для сбора детальной информации о том, как учетные записи соединяются и разъединяются от сервера MetaFrame.
Честно говоря, указание /all является излишним. Что вас в действительности интересует? Сколько времени пользователи проводят на сервере MetaFrame? Для этого используйте опцию /time. Например, команда auditlog /time
выдаст отчет, напоминающий следующий: User: ChristaA Logon: 3/27/2002 20:54 Logoff: 3/27/2002 20:54 Total: 00:00:02 Logon: 3/29/2002 17:56 Logoff: 3/29/2002 17:56 Total: 00:00:00 Logon: 4/8/2002 12:37 CurTm: 4/9/2002 10:20 Total: 21:42:39 Logon: 4/8/2002 14:37 CurTm: 4/9/2002 10:20 Total: 19:42:34 Total logon time: 41:25:15
User: Administrator Logon: 3/29/2002 17:47 Logoff: 3/29/2002 17:48 Total: 00:01:08 Logon: 4/8/2002 12:38 Logoff: 4/8/2002 12:40 Total: 00:01:16 Logon: 4/8/2002 12:43 Logoff: 4/8/2002 12:44 Total: 00:01:17 Logon: 4/8/2002 14:33 Logoff: 4/8/2002 14:35 Total: 00:02:04 Total logon time: 00:05:45
User: Scott Logon: 4/8/2002 12:41 Logoff: 4/8/2002 12:44 Total: 00:03:19 Total logon time: 00:03:19
/time прекрасно работает с именами пользователей, так что вы можете собрать информацию о времени для только определенных имен пользователей. Порядок не имеет значение - команда auditlog /time username
дает тот же результат, что и команда auditlog username /time