Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Деятельность в системе 30.08.07 12:42
Автор: Prog87 Статус: Незарегистрированный пользователь
|
|
Мне нужно узнать какие действия производились в системе в моё отсутствие, хотя бы когда и сколько раз запускали комп. Политики аудита не были включены. Есть ли другой способ узнать о деятельности в системе?
|
|
Постфактум?! Если только допросом подозреваемых ;). 30.08.07 14:57
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
|
| |
Смотря какая система. 30.08.07 16:49
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.08.07 16:51 Количество правок: 2
|
Смотря какая система.
Если Евентлог не чистился, то можно в нем узнать хотя бы о включении/выключении:
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: EventLog
Категория события: Отсутствует
Код события: 6009
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Н/Д
Компьютер: Host
Описание:
Microsoft (R) Windows (R) 5.02. 3790 Service Pack 1 Uniprocessor Free.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: EventLog
Категория события: Отсутствует
Код события: 6005
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Н/Д
Компьютер: Host
Описание:
Запущена служба журнала событий.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: USER32
Категория события: Отсутствует
Код события: 1074
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Host\User
Компьютер: Host
Описание:
Процесс Explorer.EXE инициировал действие "Завершить работу" для компьютера Host от имени пользователя Host\User по причине: Другое (Запланированное)
Код причины: 0x85000000
Тип выключения: Завершить работу
Комментарий:
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 00 85 ...…
|
|
|
подробно о проекте
Анализ криптографических сетевых...
