XP Prof. ... Abmeldevorgang protokollieren!

[Gulliver03 10]

Hallo,

 

eine endlose Recherche im Netz hat mich bisher nicht zum Ziel geführt. Ich weiss zwar wie ein Anmeldevorgang protokolliert wird, würde aber gerne wissen, wie dies mit einem Abmelden funktioniert. Bisher bin ich nur auf einen Beitrag der MS Knowledge Base gestossen, der mich aber auch nicht so richtig weitergebracht hat. Wo muss denn eine Einstellung vorgenommen werden, damit die Ereignisse in eine Abmeldedatei geschrieben werden.

 

Allerbesten Dank und Gruß.

[blub 115]

meinst du Abmelden innerhalb XP oder Abmelden an der Domäne? Bei letzterem könntest du einen Netzwerktrace ziehen. Ich bin nicht sicher, ob ein aktiviertes userenvdebug auch die Abmeldung protokolliert. Hast du das mal probiert?

 

cu

blub

[Gulliver03 10]

Hallo,

 

mir geht es um das Abmelden an einer Domäne .... wie läuft das mit einem Netzwerktrace? .... ich habe auch schon darüber nachgedacht, ein Abmeldeskript zu erstellen, das mir die Meldungen in eine Datei schreibt (so zumindest meine theoretische Überlegung). Beim Abmelden wird nichts in die USERENV.LOG geschrieben (das ist nur beim Anmelden der Fall).

 

Kannst Du mir sagen, wie ich da konkret vorgehen soll.

 

Danke Dir.

[blub 115]

du installierst dir auf deinem DC einen Netzwerksniffer, z.B. Wireshark: The World's Most Popular Network Protocol Analyzer und startest den Sniffer. Wenn mehrere aktive Clients an dem DC hängen, kannst du in das Filterfenster oben z.b. "ip.addr eq 1.2.3.4" eintragen, dann siehst du nur den Verkehr mit dem Client.

Du kannst noch nach Protokollen filtern. z.B. "ip.addr eq 1.2.3.4 and DNS" bzw. SMB, NBNS, LDAP, Kerberos etc. . Das ist sicher nicht uninteressant, beschreib doch hier mal die Ergebnisse.

Idealerweise snifferst du nicht am DC, sondern an einer extra Maschine, die am Mirrorport deines Testclients hängt. Kann ja sein, dass der Client auch noch mit anderen Maschinen quatscht.

 

cu

blub

[Daim 12]

Salve,

 

Wo muss denn eine Einstellung vorgenommen werden, damit die Ereignisse in eine Abmeldedatei geschrieben werden.

 

Anmeldungen sowie Abmeldungen lassen sich auch per Logonskript und Logoffskript protokollieren. Dazu gilt es eine Batch-Datei zu erstellen, eine für die Anmeldung (wenn gewünscht) und eine andere für die Abmeldung:

 

Logon.cmd: echo logon %username% %computername% %date% %time% >> \\Server\Freigabe\Logon.txt

 

Logoff.cmd: echo logoff %username% %computername% %date% %time% >> \\Server\Freigabe\Logoff.txt

 

Anschließend gilt es die erstellen Batch-Dateien in eine entsprechende Richtlinie zu verknüpfen:

Benutzerkonfiguration - Windows-Einstellungen - Skripts (Anmelden/Abmelden).

[Gulliver03 10]

Hallo,

 

vielen Dank erstmal für den Support .... ich habe jetzt mal das Logoff-Skript von Daim versucht. Das geht, aber es werden keine systemeitigen Informationen (ähnlich denen im Userenv.log beim Anmelden) dort hineingeschrieben ..... kann man das evtl. noch ergänzen, oder bleibt es bei den in %-Zeichen aufgeführten Informationen ...... da es für mich wichtig, was die Maschine beim Abmelden macht bzw. nicht macht, benötige ich diese Details.

 

In Bezug auf Wireshark ist das absolutes Neuland, deswegen die Frage, ob diese Software ein solch detailliertes Logoff-Log schreiben kann?

 

Besten Dank

[blub 115]

Wireshark gibt dir als Netzwerksniffer die detailliertesten Informationen, die möglich sind, was die Kommunikation zwischen Domäne und Client angeht. Es wird dir nichts darüber sagen können, was innerhalb des XP-Clients selbst passiert.

 

cu

blub