Acompanhar quem instalou o software no servidor

2
Estou correto, que se um programa é instalado em um servidor e aparece em 'Adicionar programas / Remover programas', então deve ter sido instalado quando um usuário tiver feito logon no servidor ou no console físico, ou usando o RDP e não quando um usuário acessou o servidor por meio de um compartilhamento?

E se sim, então isso deve aparecer como 528 do ID do evento.

Em outras palavras, se eu olhar o evento ID 528, posso obter uma lista de suspeitos. Está correto?

    
por sgmoore 25.08.2010 / 17:02

2 respostas

1

Em geral, sim. Provavelmente, você também deve examinar o tipo de logon para determinar como o usuário acessou o servidor. Eu estou pensando que você quer procurar tipos de logon 2, 10 e possivelmente 5.

    
por 25.08.2010 / 17:11
0

Isso abrangerá os casos de uso mais comuns, mas os aplicativos podem ser instalados por processos remotos (como PSExec, scripts em lote ou uma ferramenta de implantação remota, como o CA Unicenter.) Eles não registram necessariamente esse código de evento.

O que você descreve é um ótimo lugar para começar, no entanto.

    
por 25.08.2010 / 18:03