Настроил аудит процессов. в логах отражается запуск и завершение каждого процесса, только одна маленькая проблемка:
когда процесс стартует, в логе указывается неверный PID процесса, что-то типа 4288402336, причем в описании завершения PID пишется правильный. Пример логов запуска mspaint.exe:
запуск:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 01.06.2002
Time: 14:22:47
User: CEPF\Glory
Computer: CEPF
Description:
A new process has been created:
New Process ID: 4288402336
Image File Name: \WINNT\system32\mspaint.exe
Creator Process ID: 4290226016
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
завершение:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 01.06.2002
Time: 14:23:08
User: CEPF\Glory
Computer: CEPF
Description:
A process has exited:
Process ID: 2420
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
Задача в следующем:
прога стартует вместе с Windows, пишет в лог типа "Начало работы [дата, время]", затем помещает в лог список запущенных процессов и далее протоколирует запуск и завершение процессов, напр.
"26.05.02 12:10 Process started, PID: 1018, Name: Winword.exe"
"26.05.02 12:15 Process terminated, PID: 1018, Name: Winword.exe"
....
Завершение работы с Windows должно тоже отражается в логе.
Никто не видел ничего подобного?
Извини, но чем не устраивает Eventlog от 2000 или НТ ?31.05.02 19:08 Автор: babay <Andrey Babkin> Статус: Elderman Отредактировано 31.05.02 19:08 Количество правок: 1
> Задача в следующем: > прога стартует вместе с Windows, пишет в лог типа "Начало > работы [дата, время]", затем помещает в лог список > запущенных процессов и далее протоколирует запуск и > завершение процессов, напр. > "26.05.02 12:10 Process started, PID: 1018, Name: > Winword.exe" > "26.05.02 12:15 Process terminated, PID: 1018, Name: > Winword.exe" > .... > Завершение работы с Windows должно тоже отражается в логе. > Никто не видел ничего подобного?
Если конечно у тебя не 3х, 9х или Ме. А так, если надо, логи соответствуюшим образом могу помочь настроить.
З.Ы. Правда на счет 4 НТ я не совсем точно помню, но могу посмотреть.
Настроил аудит процессов. в логах отражается запуск и завершение каждого процесса, только одна маленькая проблемка:
когда процесс стартует, в логе указывается неверный PID процесса, что-то типа 4288402336, причем в описании завершения PID пишется правильный. Пример логов запуска mspaint.exe:
запуск:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 01.06.2002
Time: 14:22:47
User: CEPF\Glory
Computer: CEPF
Description:
A new process has been created:
New Process ID: 4288402336
Image File Name: \WINNT\system32\mspaint.exe
Creator Process ID: 4290226016
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
завершение:
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 01.06.2002
Time: 14:23:08
User: CEPF\Glory
Computer: CEPF
Description:
A process has exited:
Process ID: 2420
User Name: Glory
Domain: CEPF
Logon ID: (0x0,0xCA1F)
Q277743 - теперь проблема скачать патч.02.06.02 11:26 Автор: Glory <Mr. Glory> Статус: Elderman Отредактировано 02.06.02 11:29 Количество правок: 1
Нашел я Knowledge base описание вышеуказанной проблемы. Это оказывается вместо PID в логи пишется APID (Audit PID). И далее говориться, что патч то у нас есть, но вы лучше подождите следующего сервис-пака. А чтобы скачать патч - свяжитесь напрямую с нашим суппортом. А как я с ним свяжусь, если у меня лицензионного софта с роду не было?
P.S. В Post SP-2 Hotfixes этого патча нет.
> Что до дела - посмотри эту ссылку ( более путевого > руководства я не встречал ) : > http://www.osp.ru/win2000/2001/06/034.htm пробежался по статейке - руководство неплохое, но практически до всего, что там написано можно дойти самому (хотя и дольше конечно ;-)). И опять-таки - автор просто признает наличие проблемы связи запуска и завершения процесса, а решения - нет ;-(.
> пробежался по статейке - руководство неплохое, но > практически до всего, что там написано можно дойти самому > (хотя и дольше конечно ;-)). И опять-таки - автор просто > признает наличие проблемы связи запуска и завершения > процесса, а решения - нет ;-(. Да, так и написано - еще нет решения. но хорошо уже то, что ты об этом знаешь и не тратишь времени на проверку свои действий.
Обрати внимание на то, что там целая серия статей погоняй по тамошним ссылкам не прогадаешь.
2 Glory !!! У тебя ядро мультипроцессорное ?, Дай точные данные по самому файлу.04.06.02 18:05 Автор: babay <Andrey Babkin> Статус: Elderman
Ядра везде однопроцессорные, с поддержкой ACPI. Надо патч для W2kAs-English, W2kPro-English, W2kPro-Rus.05.06.02 09:55 Автор: Glory <Mr. Glory> Статус: Elderman Отредактировано 05.06.02 09:56 Количество правок: 1
> Если конечно у тебя не 3х, 9х или Ме. А так, если надо, Нет конечно, издеваешься? ;-))) Стоит W2kAS.
> логи соответствуюшим образом могу помочь настроить. помоги, пожалуйста, сам не рублю в этом.
Просто надо, чтобы протоколировалось запуск и завершение любого процесса в системе, будь то winword, notepad, quake3, lsass ;-)).
народ тогда01.06.02 15:01 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
