Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Извини, но чем не устраивает Eventlog от 2000 или НТ ? 31.05.02 19:08 Число просмотров: 1118
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 31.05.02 19:08 Количество правок: 1
|
> Задача в следующем:
> прога стартует вместе с Windows, пишет в лог типа "Начало
> работы [дата, время]", затем помещает в лог список
> запущенных процессов и далее протоколирует запуск и
> завершение процессов, напр.
> "26.05.02 12:10 Process started, PID: 1018, Name:
> Winword.exe"
> "26.05.02 12:15 Process terminated, PID: 1018, Name:
> Winword.exe"
> ....
> Завершение работы с Windows должно тоже отражается в логе.
> Никто не видел ничего подобного?
Если конечно у тебя не 3х, 9х или Ме. А так, если надо, логи соответствуюшим образом могу помочь настроить.
З.Ы. Правда на счет 4 НТ я не совсем точно помню, но могу посмотреть.
|
|
<software>
|
Подскажите прогу по протоколированию процессов. 26.05.02 15:59
Автор: Glory <Mr. Glory> Статус: Elderman
|
Задача в следующем:
прога стартует вместе с Windows, пишет в лог типа "Начало работы [дата, время]", затем помещает в лог список запущенных процессов и далее протоколирует запуск и завершение процессов, напр.
"26.05.02 12:10 Process started, PID: 1018, Name: Winword.exe"
"26.05.02 12:15 Process terminated, PID: 1018, Name: Winword.exe"
....
Завершение работы с Windows должно тоже отражается в логе.
Никто не видел ничего подобного?
|
|
Извини, но чем не устраивает Eventlog от 2000 или НТ ? 31.05.02 19:08
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 31.05.02 19:08 Количество правок: 1
|
> Задача в следующем:
> прога стартует вместе с Windows, пишет в лог типа "Начало
> работы [дата, время]", затем помещает в лог список
> запущенных процессов и далее протоколирует запуск и
> завершение процессов, напр.
> "26.05.02 12:10 Process started, PID: 1018, Name:
> Winword.exe"
> "26.05.02 12:15 Process terminated, PID: 1018, Name:
> Winword.exe"
> ....
> Завершение работы с Windows должно тоже отражается в логе.
> Никто не видел ничего подобного?
Если конечно у тебя не 3х, 9х или Ме. А так, если надо, логи соответствуюшим образом могу помочь настроить.
З.Ы. Правда на счет 4 НТ я не совсем точно помню, но могу посмотреть.
|
| |
...продолжение темы. 01.06.02 14:24
Автор: Glory <Mr. Glory> Статус: Elderman
|
Настроил аудит процессов. в логах отражается запуск и завершение каждого процесса, только одна маленькая проблемка:
когда процесс стартует, в логе указывается неверный PID процесса, что-то типа 4288402336, причем в описании завершения PID пишется правильный. Пример логов запуска mspaint.exe:
запуск:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 01.06.2002
Time: 14:22:47
User: CEPF\Glory
Computer: CEPF
Description:
A new process has been created:
New Process ID: 4288402336
Image File Name: \WINNT\system32\mspaint.exe
Creator Process ID: 4290226016
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
завершение:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 01.06.2002
Time: 14:23:08
User: CEPF\Glory
Computer: CEPF
Description:
A process has exited:
Process ID: 2420
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
|
| | |
Q277743 - теперь проблема скачать патч. 02.06.02 11:26
Автор: Glory <Mr. Glory> Статус: Elderman
Отредактировано 02.06.02 11:29 Количество правок: 1
|
Нашел я Knowledge base описание вышеуказанной проблемы. Это оказывается вместо PID в логи пишется APID (Audit PID). И далее говориться, что патч то у нас есть, но вы лучше подождите следующего сервис-пака. А чтобы скачать патч - свяжитесь напрямую с нашим суппортом. А как я с ним свяжусь, если у меня лицензионного софта с роду не было?
P.S. В Post SP-2 Hotfixes этого патча нет.
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q277743
|
| | | |
А говоришь - не рублю в этом ;-) 02.06.02 11:51
Автор: babay <Andrey Babkin> Статус: Elderman
|
могу попробовать запросить этот патч, но, мля, очень серьезные запарки на работе, просто физически времени может не хватить, но я попробую.
Что до дела - посмотри эту ссылку ( более путевого руководства я не встречал ) :
http://www.osp.ru/win2000/2001/06/034.htm
Enjoy
|
| | | | |
Если можешь - запроси патч. Заранее спасибо! 02.06.02 12:21
Автор: Glory <Mr. Glory> Статус: Elderman
|
> Что до дела - посмотри эту ссылку ( более путевого
> руководства я не встречал ) :
> http://www.osp.ru/win2000/2001/06/034.htm
пробежался по статейке - руководство неплохое, но практически до всего, что там написано можно дойти самому (хотя и дольше конечно ;-)). И опять-таки - автор просто признает наличие проблемы связи запуска и завершения процесса, а решения - нет ;-(.
|
| | | | | |
Попробую заказать. 02.06.02 12:59
Автор: babay <Andrey Babkin> Статус: Elderman
|
> пробежался по статейке - руководство неплохое, но
> практически до всего, что там написано можно дойти самому
> (хотя и дольше конечно ;-)). И опять-таки - автор просто
> признает наличие проблемы связи запуска и завершения
> процесса, а решения - нет ;-(.
Да, так и написано - еще нет решения. но хорошо уже то, что ты об этом знаешь и не тратишь времени на проверку свои действий.
Обрати внимание на то, что там целая серия статей погоняй по тамошним ссылкам не прогадаешь.
|
| | | | | | |
2 Glory !!! У тебя ядро мультипроцессорное ?, Дай точные данные по самому файлу. 04.06.02 18:05
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
|
| | | | | | | |
Ядра везде однопроцессорные, с поддержкой ACPI. Надо патч для W2kAs-English, W2kPro-English, W2kPro-Rus. 05.06.02 09:55
Автор: Glory <Mr. Glory> Статус: Elderman
Отредактировано 05.06.02 09:56 Количество правок: 1
|
|
|
| |
Извини, но чем не устраивает Eventlog от 2000 или НТ ? 01.06.02 14:12
Автор: Glory <Mr. Glory> Статус: Elderman
|
> Если конечно у тебя не 3х, 9х или Ме. А так, если надо,
Нет конечно, издеваешься? ;-))) Стоит W2kAS.
> логи соответствуюшим образом могу помочь настроить.
помоги, пожалуйста, сам не рублю в этом.
Просто надо, чтобы протоколировалось запуск и завершение любого процесса в системе, будь то winword, notepad, quake3, lsass ;-)).
|
| | |
народ тогда 01.06.02 15:01
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
будет q3.exe переименовывать в notepad.exe ;-)))))))
|
| | | |
не прокатит 01.06.02 15:09
Автор: Glory <Mr. Glory> Статус: Elderman
|
> будет q3.exe переименовывать в notepad.exe ;-)))))))
путь то указывается полный. а заменить notepad они не смогут - NTFS не даст.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
