tool zum loggen der login-time bei pdc

[raf 10]

hi!

 

kennt jemand ein tool bzw. eine möglichkeit anzuzeigen wann sich welcher user wie lange eingeloggt war? es gibt zwar genug tools die die "last login time" anzeigen aber ich hätte eben gern die login- und logoff-zeit (idealerweise auch für mehrere tage..)

 

ich kenn zwar die möglichkeit diese infos ins eventlog zu schreiben aber da is die analyse viel zu mühsam :(

 

bin für jeden tip dankbar!

 

gruss,

raf

[blub 115]

gibts überhaupt ein logoff-Event ??

cu

blub

[Gadget 37]

Hi Raf und willkommen an Board :D

 

gibts überhaupt ein logoff-Event ??

 

Blub stellt hier glaube ich die richtige Frage... imho gibt es keinen eindeutigen Logoff Event ... es gibt zwar einen Security Log Eintrag aber der bringt nix da er von der Zeit nicht eindeutig ist wie hier beschrieben wird =>

 

http://www.ultimatewindowssecurity.com/events/com199.html

 

If a user turns off his/her computer, Windows does not have an opportunity to log the logoff event until the system restarts. Therefore, some logoff events are logged much later than the time at which they actually occur.

 

Sometimes Windows simply doesn't log event 538.

 

Weitere Diskussion zu Logoff - Events:

 

http://www.microsoft.com/technet/community/chats/trans/security/05_0504_tn_sec.mspx

 

Randy Franklin Smith (Expert):

Q: Suggestions for using logon/off events to create a billing process for a shared machine ?

A: Unfortunately Windows does a horrible job of logging logoff events. So there is no good way at all to get a good record of when users logoff.

 

LG Gadget

[Dr Kiffer 10]

also ne einfachere Auswertung wäre mit einem log-on bzw. logoff script möglich..

 

könnte so aussehen

 

echo %username% hat sich am %date% um %time% Uhr an %computername% angemeldet >> \\servername\freigabe\log.txt

bzw.

echo %username% hat sich am %date% um %time% Uhr an %computername% abgemeldet >> \\servername\freigabe\log.txt

 

Gruß

 

Dr.Kiffer

[doenertier 10]

Ich habe das mit dem Skript bei uns auch mal versucht und hier mal gepostet!

nun trägt er das aber doppelt in die log datei ein, was ja auch logisch ist! Aber wie trägt er denn nun die wahre abmeldezeit ein? Und kann ich mit diesem Befehl echo off/echo es nicht irgendwie ausschalten, dass der User es in dem Dosfenster sieht, was sich beim anmelden öffnet, das da was gelogged wird?

 

echo off %username% hat sich am %date% um %time% Uhr an %computername% angemeldet >> \\server\C$\log.txt

 

 

echo %username% hat sich am %date% um %time% Uhr an %computername% abgemeldet >> \\server\c$\log.txt

 

net use P: \\Server\Buero$

 

net use U: \\Server\B$

 

@SET LANG=ENU

@SET FILE_SERVER=SERVER

@ECHO OFF

REM *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*

REM

REM VPLOGIN.BAT

REM Description: Client login script file for Windows NT Servers running

REM Norton AntiVirus Corporate Edition

REM

REM *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=

 

rem %0\..\NBPSHPOP +T: \\%FILE_SERVER%\vplogon

 

if "%OS%" == "Windows_NT" goto WINNT_NBPSHPOP

 

%0\..\NBPSHPOP +T: \\%FILE_SERVER%\vplogon

 

goto MOVEON

 

:WINNT_NBPSHPOP

 

NBPSHPOP +T: \\%FILE_SERVER%\vplogon

 

:MOVEON

 

T:\OSVER

IF ERRORLEVEL 2 GOTO WIN_32

 

REM *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*

 

:WIN_32

T:\VP_Log32 /p=T:

GOTO END

 

 

REM =*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=

 

:END

 

rem %0\..\NBPSHPOP -T:

 

if "%OS%" == "Windows_NT" goto WINNT_NBPSHPOP_END

 

%0\..\NBPSHPOP -T:

 

goto MOVEON_END

 

:WINNT_NBPSHPOP_END

 

NBPSHPOP -T:

 

:MOVEON_END

[Dr Kiffer 10]

Zum einen damit die User nicht sehen was da ausgeführt wird in die erste Zeile einfach mal

@echo off

 

schreiben.

 

Zum anderen musst du natürlich 2 verschiedene Scripte machen. Ein LogOn und ein LogOff Script

 

Dann hast du beim Anmelden nur den Anmeldezeitpunkt und beim Abmelden nur den Abmeldezeitpunkt!

 

Gruß

 

Dr.Kiffer

[doenertier 10]

soweit klappt das nun. aber in der log datei steht davor nun immer noch off obwohl im ich @echo off eingetragen habe.....müsste er das off dann eigentlich nicht in die Datei schreiben? Wo kann ich denn ein log off script hinterlegen? Also wo lasse ich den Rechner das starten, wenn er runterfährt?

[Dr Kiffer 10]

Sorry hab ich vergessen zu erwähnen musst natürlich die Zeile

echo off %username% hat sich am %date% um %time% Uhr an %computername% angemeldet >> \\server\C$\log.txt

 

durch

 

echo  %username% hat sich am %date% um %time% Uhr an %computername% angemeldet >> \\server\C$\log.txt

 

ersetzten!

 

Ich weiss ja nicht wo du das LogOn Script hinterlegst aber in der Regel kannst du in den Gruppenrichtlinien auch LogOn und auch direk Logoff scripte hinterlegen!

 

musste dir mal anschauen!

 

Gruß

 

Dr,Kiffer

[004 10]

Hi,

 

die Scripte werden normalerweise im Sysvolverzeichnis auf dem Domaincontroller gespeichert:

 

C:\WINDOWS\SYSVOL\sysvol\domain.int\Policies\{GPO-ID-Number}\USER\Scripts\

bzw.

\\DC\sysvol\domain.int\Policies\{GPO-ID-Number}\USER\Scripts\

 

In der Gruppenrichtlinienkonsole dann die GPO konfigurieren (unter Benutzerkonfiguration\Windows-Einstellungen\Scripts\Anmelden bzw. \Abmelden) indem die entsprechenden Scripte ausgewählt werden.

 

Die Benutzer für die das gelten soll, müssen natürlich auch in der OU sein, auf die die GPO wirkt.

 

LG 004