Мне нужно узнать какие действия производились в системе в моё отсутствие, хотя бы когда и сколько раз запускали комп. Политики аудита не были включены. Есть ли другой способ узнать о деятельности в системе?
Постфактум?! Если только допросом подозреваемых ;).30.08.07 14:57 Автор: fly4life <Александр Кузнецов> Статус: Elderman
Смотря какая система.
Если Евентлог не чистился, то можно в нем узнать хотя бы о включении/выключении:
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: EventLog
Категория события: Отсутствует
Код события: 6009
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Н/Д
Компьютер: Host
Описание:
Microsoft (R) Windows (R) 5.02. 3790 Service Pack 1 Uniprocessor Free.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: EventLog
Категория события: Отсутствует
Код события: 6005
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Н/Д
Компьютер: Host
Описание:
Запущена служба журнала событий.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
----------------------------------------------------------------------------------------------------------------
Тип события: Уведомление
Источник события: USER32
Категория события: Отсутствует
Код события: 1074
Дата: 01.01.2007
Время: 01:01:01
Пользователь: Host\User
Компьютер: Host
Описание:
Процесс Explorer.EXE инициировал действие "Завершить работу" для компьютера Host от имени пользователя Host\User по причине: Другое (Запланированное)
Код причины: 0x85000000
Тип выключения: Завершить работу
Комментарий: