visualizzatore eventi e login

[vaka_85]

allora, non so se è la sezione giusta... xò forse si xkè qualke riga di codice bisognerà scriverla...
allora io ho bisogno di sapere, attraverso il visualizzatore eventi, o qualke altro tool di sistema ke fa la stessa cosa, quanti e quali utenti hanno fatto il login su un pc.. come posso fare? grazie

[cionci]

La prima soluzione che mi viene in mente è scrivere un Gina ()...
Probabilmente ci sarà qualcosa di più semplice, ma non mi viene in mente altro...

http://www.codeproject.com/useritems/GINA_SPY.asp

[Master FO]

se sei su un sistema linux basta che ti logghi come root e digiti il comando "last".
và a leggere un file di log che credo si chiami /var/log/last.log

[vaka_85]

non sono su linux

cmq in quel link su gina non sembra esserci quello ke mi serve...potresti spiegarmi? grazie

[cionci]

Gina è una DLL che gestisce il login. In questo modo puoi salvarti gli username degli utenti che si loggano (praticamente viene fatto lo stesso su quell'esempio).

[vaka_85]

ok, provo a darci un'occhiata x bene, poi t faccio sapere. se intanto qualcuno conosce altri modi dica pure

[andbin]

Visto che non ho mai usato le API del Event Logging, ho voluto provare a scrivere un semplice programmino per leggere gli eventi registrati nel Registro di protezione.

Se può essere utile, ecco il sorgente:

Codice:

#define STRICT
#include <windows.h>
#include <string.h>
#include <stdio.h>
#include <time.h>

#define EVLOGREC_BUFSIZE        2048


int main (int argc, char *argv[])
{
    HANDLE           hLog;
    BYTE             bBuffer[EVLOGREC_BUFSIZE];
    EVENTLOGRECORD  *pelr;
    DWORD            dwRead, dwNeed;
    time_t           t;
    CHAR             szTime[64];
    WORD             wIdx;
    PCHAR            pStr;

    pelr = (EVENTLOGRECORD*) bBuffer;

    hLog = OpenEventLog (NULL, "Security");

    if (hLog != NULL)
    {
        while (ReadEventLog (hLog, EVENTLOG_SEQUENTIAL_READ | EVENTLOG_FORWARDS_READ,
                             0, pelr, EVLOGREC_BUFSIZE, &dwRead, &dwNeed))
        {
            while (dwRead > 0)
            {
                t = (time_t) pelr->TimeGenerated;
                
                strcpy (szTime, ctime (&t));

                if ((pStr = strchr (szTime, '\n')) != NULL)
                    *pStr = '\0';

                /*-- Stampa data/ora --*/
                printf ("%s  ", szTime);

                /*-- Stampa tipo evento --*/
                switch (pelr->EventType)
                {
                    case EVENTLOG_ERROR_TYPE:
                        printf ("Error  ");
                        break;
                    case EVENTLOG_WARNING_TYPE:
                        printf ("Warning  ");
                        break;
                    case EVENTLOG_INFORMATION_TYPE:
                        printf ("Information  ");
                        break;
                    case EVENTLOG_AUDIT_SUCCESS:
                        printf ("Audit Success  ");
                        break;
                    case EVENTLOG_AUDIT_FAILURE:
                        printf ("Audit Failure  ");
                        break;
                }

                /*-- Stampa stringhe --*/
                pStr = (PCHAR) pelr + pelr->StringOffset;

                for (wIdx = 0; wIdx < pelr->NumStrings; wIdx++)
                {
                    if (wIdx > 0)
                        printf (" ");

                    printf ("\"%s\"", pStr);
                    pStr += strlen (pStr)+1;
                }

                printf ("\n");

                dwRead -= pelr->Length;
                pelr = (EVENTLOGRECORD*) ((LPBYTE) pelr + pelr->Length);
            }

            pelr = (EVENTLOGRECORD*) bBuffer;
        }

        CloseEventLog (hLog);
    }
    else
        printf ("Error %lu\n", GetLastError ());

    return 0;
}

Nota: si potrebbero stampare anche altre informazioni. Non mi è ancora chiarissimo al 100% cosa c'è nel record.

[vaka_85]

appena possibile provo poi t faccio sapere! grazie mille!
c rivediamo anke qui eh!

[vaka_85]

l'ho provato... ma nn stampa niente!

[andbin]

Quote:

Originariamente inviato da vaka_85

l'ho provato... ma nn stampa niente!

Sono raccomandazioni banali, lo so, ma ... l'hai fatto girare come "Administrator"??? Hai qualcosa nel "Registro di protezione"??

Se lo lanci non come amministratore dovrebbe indicare Error 1314 (cioè ERROR_PRIVILEGE_NOT_HELD).

[vaka_85]

non mi dava quell'errore xò nn ero admin. ora ho provato con admin e va, ma stampa milioni di informazioni...

a me interessa semplicemente sapere quanti utenti hanno effettuato l'accesso fino a quel momento... e poi magari svuotare il registro, ma questo viene dopo...

[andbin]

Quote:

Originariamente inviato da vaka_85

a me interessa semplicemente sapere quanti utenti hanno effettuato l'accesso fino a quel momento... e poi magari svuotare il registro, ma questo viene dopo...

Beh, io ho fatto solo una stampa dei record e solo di alcune informazioni. Nel record ci sono diverse altre informazioni. C'è sicuramente da fare dei filtri per quello che vuoi fare tu ma bisognerebbe capire meglio quali sono i campi e i valori che servono.

[vaka_85]

ho scoperto ke l'id x l'evento "login" è il 528... quindi suppongo, e magari dico una cavolata, ke ogni volta ke il tuo prog vede sto numero, incrementi un contatore, ke poi viene scritto in un file... naturalmente non ne ho idea se sia fattibile oppure no

[vaka_85]

qualcuno mi aiuta? grazie

[cionci]

vaka_85: avevi già la soluzione pronta nel sito che ti avevo linkato
Bastava fare qualche modifica e compilare il tutto

Edit: aspetta ho letto che sembra non funzionare su XP

[vaka_85]

già...

[vaka_85]

andbin aiutami tu!

[andbin]

Quote:

Originariamente inviato da vaka_85

andbin aiutami tu!

Allora diciamo questo: ho fatto una prova con il sorgente che ho postato. Gli ho fatto solo una modifica affinché stampasse anche il 'EventID'.

Ecco un esempio di cosa mi stampa:

Codice:

Thu Nov 23 09:54:07 2006  681  Audit Failure  "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" "dev" "WIN2000" "3221225578"
Thu Nov 23 09:54:19 2006  680  Audit Success  "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" "administrator" "WIN2000"

Quindi bisogna innanzitutto verificare che la prima stringa sia "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0", poi verificare se il EventID è 680 (login con successo) o 681 (login fallito).
Poi la seconda stringa è il nome utente e la terza è il computer.

[vaka_85]

ti ringrazio.

ma sei sicuro dell'id dell'evento? io avevo fatto delle ricerche e ho anche provato e avevo visto ke era il 528

[andbin]

Quote:

Originariamente inviato da vaka_85

ti ringrazio.

ma sei sicuro dell'id dell'evento? io avevo fatto delle ricerche e ho anche provato e avevo visto ke era il 528

Eh, lo so ... ho fatto delle ricerche in rete e ho trovato che parlavano anche di questo 528 e di altri ID.
Il fatto è che non sono esperto di queste cose e non ho trovato informazioni chiare e precise. Non vorrei che gli ID variassero da una versione di Windows all'altra o in base ad altre cose che non conosco.
Sul mio PC Win2000 prof. vedo solo ID 680/681.