Monitorare accessi

[MagoBertuz]

Salve a tutti, io ho una rete così configurata:
Server collegato ad uno switch
modem collegato allo stesso switch
svariati pc collegati allo stesso switch
Il server ha con os windows server 2003
ho screato un dominio in active directory e ho inserito tutti i pc in questo dominio, ho creato account e tutto...tutto funziona...
DOMANDA
Esiste un modo(programma o altro)da installare sul server che mi dice:
chi si collega, da che pc lo fa a che ora e di che gg???
e
chi si scollega, da che pc a che ora lo fa e di che gg??

Grazie in anticipo!

[slowped]

http://support.microsoft.com/kb/556015

[MagoBertuz]

Oltre alla traduzione che fa paura, altre soluzioni???vorrei avere più opzioni prima di iniziare a lavorare...

[lupotto]

Quote:

Originariamente inviato da MagoBertuz

Oltre alla traduzione che fa paura, altre soluzioni???vorrei avere più opzioni prima di iniziare a lavorare...

A pagamento ce ne sono molte, ma quella segnalata dall'altro utente mi pare più che valida e non richiede nessun software aggiuntivo

[MagoBertuz]

Non c'ho capito molto di quella guida ma ci provo...al massimo chiedo aiuto...

[MagoBertuz]

Ok, ufficialmente non ci ho capito una "mazza"...
Ci sarebbe qualcuno che sa dirmi la procedura esatta che devo adottare per eseguire quella guida?
Fate conto che non ci capisca niente(che più o meno è vero ) ditemi passo passo che devo fare xchè sono ad un punto morto!!!!
Grazie in anticipo!

[slowped]

Quote:

Originariamente inviato da MagoBertuz

Ci sarebbe qualcuno che sa dirmi la procedura esatta che devo adottare per eseguire quella guida?

In quella guida c'è già una procedura passo-passo. Sinceramente non capisco dov'è il problema.

Hai due opzioni: interrogare i controllori di dominio alla ricerca di eventi di logon/logoff (devi prima abilitare questa funzionalità tramite una "group policy", "criterio di gruppo" in italiano) oppure creare due script (uno di logon e l'altro di logoff) che scrivano in un file di log gli eventi in questione.

[MagoBertuz]

Quello dei criteri mi dice solo il login...non il logoff...è la prima cosa che ho usato...inoltre mi dice solo che pc si è collegato, non mi dice chi lo ha usato e per quanto tempo...quindi non mi serve a niente...la storia degli script non capisco ne come crearli(mai fatto) ne come usarli(mai fatto) ne dove metterli...

[MagoBertuz]

Quote:

Originariamente inviato da slowped

oppure creare due script (uno di logon e l'altro di logoff) che scrivano in un file di log gli eventi in questione.

se hai pazienza di dirmi come si fa te ne sarei davvero grato

[slowped]

Quote:

Originariamente inviato da MagoBertuz

Quello dei criteri mi dice solo il login...non il logoff...è la prima cosa che ho usato...inoltre mi dice solo che pc si è collegato, non mi dice chi lo ha usato e per quanto tempo...quindi non mi serve a niente...

Per prima cosa, abbassa i toni e prima di fare affermazioni come quelle che ho evidenziato in grassetto accertati di non dire cose inesatte.

Il la policy (criterio) da utilizzare è "Audit Account Logon Events" ("Controlla eventi accesso account" in italiano). Essa tiene traccia degli eventi di accesso al dominio che vengono registrati nel Security log (log di protezione in italiano) del controllore di dominio.

Secondo la definizione di Microsoft (visibile quando si visualizzano le proprietà della impostazione in esame):

Quote:

Controlla eventi accesso account

Questa impostazione di protezione specifica se controllare o meno ogni singolo evento di accesso o disconnessione di utenti relativo a un altro computer che utilizza questo computer per la convalida dell'account.

In ogni caso, nel log degli eventi compariranno solo gli eventi di logon (ID=528) e logoff (ID=538). La durata della sessione deve essere calcolata accoppiando i due eventi di cui sopra utilizzando a questo fine il Logon ID (contenuto nell'evento). Il logon ID ha questo formato "(0x0, 0x4C37A2)" ed è unico per ogni processo di logon/logoff.

Inoltre può capitare che un evento di logon (ID=428) possa non essere accompagnato dal corrispondente logoff (ID=438) sia perché windows ogni tanto li perde, sia per altri motivi (per esempio perché, a seguito di un crash, la workstation è stata riavviata senza che l'utente potesse disconnettersi correttamente).

Quote:

Originariamente inviato da MagoBertuz

la storia degli script non capisco ne come crearli(mai fatto) ne come usarli(mai fatto) ne dove metterli...

Ti mancano i fondamentali. Purtroppo la mia pausa pranzo è terminata. Se hai voglia di scoprire da solo come fare ti do un paio di link:

http://www.rlmueller.net/Logon5.htm
http://www.rlmueller.net/LogonScriptFAQ.htm

[MagoBertuz]

Purtroppo io non ho nessuno dei codici che dici tu...il server ogni volta che si colllega qualcuno mi da un codice "540" per ogni login e me ne crea due uguali, uno per il pc da cui si è collegato e uno per la persona...e un "538" pochi secondi dopo il login...purtroppo i 2 "540" che crea è facile ricondurli ad un utente ed a un pc...se non vengono effettuati altri accessi da altri pc...xchè dopo diventa veramente un casino...se filtro con un programma posso monitorare facilmentetutti i pc, qiando si sono collegati, l'ora e tutto...ma mi manca quello che più mi interessa...mi manca il CHI si è collegato...uso events log per leggere tutti i file di registro che crea windows...a questo punto credo di aver settato male le policy...a me basterebbe che incorporasse i due "540" che crea...cmq ora provo con i link che mi hai dato...

[lupotto]

Quote:

Originariamente inviato da MagoBertuz

Purtroppo io non ho nessuno dei codici che dici tu...il server ogni volta che si colllega qualcuno mi da un codice "540" per ogni login e me ne crea due uguali, uno per il pc da cui si è collegato e uno per la persona...e un "538" pochi secondi dopo il login...purtroppo i 2 "540" che crea è facile ricondurli ad un utente ed a un pc...se non vengono effettuati altri accessi da altri pc...xchè dopo diventa veramente un casino...se filtro con un programma posso monitorare facilmentetutti i pc, qiando si sono collegati, l'ora e tutto...ma mi manca quello che più mi interessa...mi manca il CHI si è collegato...uso events log per leggere tutti i file di registro che crea windows...a questo punto credo di aver settato male le policy...a me basterebbe che incorporasse i due "540" che crea...cmq ora provo con i link che mi hai dato...

L'event viewer ti da la possibilità di filtrare nativamente gli eventi

Tasto dx del mouse sul registro eventi relativo alla sicurezza, poi scegli visualizza e poi filtro, e li filtri come ti pare per eventid per data etc.

Altrimenti prova questo event log analyzer.....potrebbe fare al caso tuo...

http://www.eventlogxp.com

La licenza è free per uso non commerciale e comunque non puoi monitorare oltre i 3 pc, provalo e vedi se fa quel che ti server.


Altrimenti e qui non hai problemi di licenza sotto i 5 host è free:

http://www.manageengine.com/products.../download.html

noi di questa società utilizziamo opmanager per il monitoraggio dei sistemi ed è molto valido come prodotto con un buon rapporto prezzo/qualità.

Probabilmente il secondo è quello più adatto ai tuoi scopi, sul sito c'è anche un demo online fattici un giro per capire cosa può fare

[slowped]

I log analyzer però servono a poco se non viene abilitato l'audit degli eventi rilevanti, nel caso specifico gli eventi 528 e 538.

[lupotto]

Quote:

Originariamente inviato da slowped

I log analyzer però servono a poco se non viene abilitato l'audit degli eventi rilevanti, nel caso specifico gli eventi 528 e 538.

Ovvio che deve esser così, ma sui dc "audit account logon event" e "audit logon event" sono già attivi di default, almeno su dc 2008 è così, ma penso valga lo stesso su 2003, anche perchè l'autore del topic dice di vedere eventi nella sezione "security" relativi al logon/logoff degli utenti che si autenticano sulla directory, e mi par di aver capito che non ha abilitato l'auditing o almeno non ci è riuscito.

Comunque gli basta una verifica delle impostazioni delle policy relative all'audit sulla "default domain controller policy" via "gmpe".

Se son attivi ( come credo siano) a quel punto la sua necessità è tirar fuori dall'informazione grezza i dati che gli interessano e raffinarli con uno degli strumenti indicati sopra.

[MagoBertuz]

Sto provando la via degli script perciò ho inserito i due script ma non riesco a trovare dove salva il log...
\\SERVER\SHARENAME$\LOGON.LOG nello script c'è scritto questo, deduco sia il posto dove salva il log... ma non riesco ad entrarci poichè non trovo nessuna cartella sharename$, meno che meno il file logon.log.

Inoltre gli script gli ho inseriti come file.bat in (editor oggetti criteri di gruppo sotto configurazione computer\impostazioni di windows\Script (avvio/arresto) con all'interno quello che scritto nella guida di supporto microsoft:

per l'avvio:

Codice:

     echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >> 
        \\SERVER\SHARENAME$\LOGON.LOG

per l'arresto:

Codice:

     echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >> 
        \\SERVER\SHARENAME$\LOGOFF.LOG

Solo che non riesco a trovare questi benedetti log...

Vi ringrazio della pazienza!

[lupotto]

Quote:

Originariamente inviato da MagoBertuz

Sto provando la via degli script perciò ho inserito i due script ma non riesco a trovare dove salva il log...
\\SERVER\SHARENAME$\LOGON.LOG nello script c'è scritto questo, deduco sia il posto dove salva il log... ma non riesco ad entrarci poichè non trovo nessuna cartella sharename$, meno che meno il file logon.log.

Inoltre gli script gli ho inseriti come file.bat in (editor oggetti criteri di gruppo sotto configurazione computer\impostazioni di windows\Script (avvio/arresto) con all'interno quello che scritto nella guida di supporto microsoft:

per l'avvio:

Codice:

     echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >> 
        \\SERVER\SHARENAME$\LOGON.LOG

per l'arresto:

Codice:

     echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >> 
        \\SERVER\SHARENAME$\LOGOFF.LOG

Solo che non riesco a trovare questi benedetti log...

Vi ringrazio della pazienza!

La cartella "sharename" la crei te sul server dove intendi memorizzare i log e la chiami come ti pare a te (sharename è un nome di esempio che potrebbe pure essere pippo o topolino), poi fai una condivisione amministrativa sulla stessa (il simbolino del $ questo indica) e assegni gli appositi permessi per evitare che gli utenti non autorizzati ci possano ravanare dentro.

La share amministrativa la puoi creare a manina, oppure via "computer management" --> "shared folders" ---> "shared" ---> "new share" e da li vai di wizzard.

[MagoBertuz]

Quote:

Originariamente inviato da lupotto

La cartella "sharename" la crei te sul server dove intendi memorizzare i log e la chiami come ti pare a te (sharename è un nome di esempio che potrebbe pure essere pippo o topolino), poi fai una condivisione amministrativa sulla stessa (il simbolino del $ questo indica) e assegni gli appositi permessi per evitare che gli utenti non autorizzati ci possano ravanare dentro.

La share amministrativa la puoi creare a manina, oppure via "computer management" --> "shared folders" ---> "shared" ---> "new share" e da li vai di wizzard.

Purtroppo non sono ancora riuscito a risolvere, abbiate ancora un po' di pazienza, allora:

Ho modificato i file bat mettendo un indirizzo dove salvare i log corretto cioè:
\\x.x.x.local\SYSVOL\x.x.x.local\LOG\LOGOFF.LOG

Poi ho copiato i file logon.bat e logoff.bat in \\x.x.x.local\SYSVOL\x.x.x.local\scripts

Ma ancora non mi si è creato nessun log^^... cosa manca?

Grazie.

[lupotto]

Quote:

Originariamente inviato da MagoBertuz

Purtroppo non sono ancora riuscito a risolvere, abbiate ancora un po' di pazienza, allora:

Ho modificato i file bat mettendo un indirizzo dove salvare i log corretto cioè:
\\x.x.x.local\SYSVOL\x.x.x.local\LOG\LOGOFF.LOG

Poi ho copiato i file logon.bat e logoff.bat in \\x.x.x.local\SYSVOL\x.x.x.local\scripts

Ma ancora non mi si è creato nessun log^^... cosa manca?

Grazie.

Scusa ma perchè usi un indirizzo ip quando dentro al dominio i nomi vengono risolti dal dns? se il tuo dc si chiama "pippo" metti "pippo" quel "x.x.x.local" non rappresenta nulla, o metti il tuo nome macchina comprensivo del dominio tipo pippo.local, o metti pippo e basta :-)

[MagoBertuz]

Quote:

Originariamente inviato da lupotto

Scusa ma perchè usi un indirizzo ip quando dentro al dominio i nomi vengono risolti dal dns? se il tuo dc si chiama "pippo" metti "pippo" quel "x.x.x.local" non rappresenta nulla, o metti il tuo nome macchina comprensivo del dominio tipo pippo.local, o metti pippo e basta :-)

No, infatti non uso un indirizzo ip, ma "x.x.x.local" sta per "uni.local" ed è come dicevi tu un nome tipo "pippo". Penso piuttosto che io stia sbagliando qualcosa con l'inserimento degli script perchè non sono ancora riuscito a vedere un dannato *.log^^...

Grazie.

[lupotto]

Quote:

Originariamente inviato da MagoBertuz

No, infatti non uso un indirizzo ip, ma "x.x.x.local" sta per "uni.local" ed è come dicevi tu un nome tipo "pippo". Penso piuttosto che io stia sbagliando qualcosa con l'inserimento degli script perchè non sono ancora riuscito a vedere un dannato *.log^^...

Grazie.

A ok, ho interpretato male io

Per il discorso che non ti scrive i log potrebbe anche essere un problema di permessi.

Per curiosità appena ho un attimo di tempo proverò a riprodurre su una vm la tua situazione