No Windows XP, posso registrar as ações de login / logoff e bloqueio / desbloqueio do usuário

Question

No Windows XP, posso registrar as ações de login / logoff e bloqueio / desbloqueio do usuário

#1 resposta do (4 votos)
#2 resposta do (3 votos)
#3 resposta do (2 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)
#8 resposta do (0 votos)

1

Deixe-me começar dizendo que sou extremamente esquecido.

Eu gostaria de ter um log quando eu fizer login, sair, bloquear e desbloquear minha estação de trabalho.

(no meu caso, posso acompanhar o número de horas que gasto no PC)

o EventViewer é sempre bom. A exibição Segurança mostra os eventos Logon / Logoff. Eu só preciso saber os eventos de bloqueio / desbloqueio também.

ou um método para chamar um script nesses eventos para que eu possa fazer o registro sozinho.

windows-xp logging windows-event-log

por ShoeLace 17.07.2009 / 20:03

8 respostas

Tags windows-xp logging windows-event-log

Estou começando a pensar que o Prevx.com não é um site legítimo ... mas é minha pergunta prolixa Altere a senha do administrador local por meio do GPO

score 4 · Answer 1

Você sabe, há um pequeno dispositivo bluetooth barato que pode ajudar você.

Você o conecta à porta USB e mantém o "dongle" no seu bolso.

Quando você sai do seu PC (digamos 6 pés ou mais), o computador é bloqueado automaticamente. Quando você volta ao alcance, ele é desbloqueado automaticamente.

ATUALIZAÇÃO:

Eu finalmente encontrei o que eu tenho. É um bloqueio de tela sem fio do PC Defender. Não tenho certeza se eles os vendem mais, mas eu já vi muitos deles em lugares como a Fry's Electronics, etc. Aqui está um link para mostrar a você como é:

link

Na mesma nota ... também há programas como o Blue Lock 1.92 e outros que podem se conectar ao Bluetooth no telefone e executar certas ações (geralmente bloquear a tela) quando você se afasta do seu PC (levando seu telefone com você).

Outra solução seria usar sua webcam para fazer capturas de tela periódicas, digamos a cada 5min. Em seguida, basta contar os tiros que têm seu rosto neles. A Microsoft tem um Power Toy que faz isso. Também funciona como uma câmera de segurança. ; -)

score 3 · Answer 2

Infelizmente, não há evento de estação de trabalho de "bloqueio" - desbloqueio (com as configurações de auditoria corretas ativadas, é possível acionar um par de eventos 528/538 com um tipo de '7'.

Uma ideia melhor pode ser olhar para as várias ferramentas que podem rastrear o uso da máquina para fins de faturamento. Geralmente, eles podem fornecer uma lista de qual aplicativo teve foco durante o período de tempo.

Utilizamos Spector 360 para fazer isso em uma ampla escala de rede.

score 2 · Answer 3

Para quem gosta de saber como fazer isso no Windows 7 (como eu): Abra Política de segurança local (pode ser encontrado pressionando a tecla Windows uma vez e digitando "Política de segurança local") = > Configuração avançada da política de auditoria = > ... = > Logon / Logoff = > Auditar outros eventos de logon / logoff = > clique duas vezes e marque todas as caixas de seleção = > salvar

Screenshot: Auditoria de outros eventos de logon / logoff

Agora você recebe os eventos no Visualizador de Eventos em Logs do Windows = > Segurança (IDs de Eventos 4800 e 4801)

score 1 · Answer 4

Existe um "tipo de logon" para "Unlock Workstation" (tipo 7) que será registrado no log de eventos. Eu não tenho certeza que isso vai te dar o que você quer, no entanto.

A maneira mais fácil de fazer o que você quer seria rodar um programa de usuário-terra com o qual você interagiu para manter registros de tempo.

Você pode desenvolver uma biblioteca GINA que registra seus próprios eventos quando uma estação de trabalho de bloqueio ou estação de trabalho de desbloqueio ocorreu, pois ambos os eventos têm retornos de chamada no GINA. (No Vista, a GINA foi substituída por Provedores de Credenciais e não ficou imediatamente claro para mim, se eles recebem um retorno de chamada quando ocorre uma estação de trabalho de bloqueio ou não.)

score 1 · Answer 5

Temos um script de login e logoff que é executado por meio da política de grupo que registra em um arquivo sempre que alguém faz login ou logoff. Isso pode ajudar? O arquivo de login contém o seguinte (configure o \ server01 \ audit $ share primeiro!)

@echo %username%,%date%,%time%,%computername%,%clientname% >>\server01\audit$\%username%login.txt

score 0 · Answer 6

Eu encontrei uma resposta parcial ..

as configurações de auditoria locais Auditpolicy ..

eu ativei "Eventos de logon da conta de auditoria"

Conheço eventos de logon / logoff quando bloqueio o PC.

no entanto, o evento logoff (ou seja, bloqueio) tem o mesmo registro de data e hora do login (desbloqueio).

se aproximando ..

atualização:

link

Algumas vezes o Windows simplesmente não registra o evento 538.

comentários da Microsoft: Esse evento não indica necessariamente o tempo que um usuário parou de usar um sistema. Por exemplo, se o computador for desligado ou perder a conectividade de rede, talvez não grave um evento de logoff. "

score 0 · Answer 7

Se você se autenticar em um controlador de domínio, poderá verificar as auditorias bem-sucedidas no arquivo de log de segurança. Toda vez que você logar com sucesso, ele será gravado (logins malsucedidos serão registrados também).

score 0 · Answer 8

Existem várias maneiras de obtê-las, dependendo da sua proficiência de programação.

Você pode se inscrever no serviço SENS com alguma codificação COM
Você pode registrar uma janela para notificação de alteração de sessão com WTSRegisterSessionNotification
Alguns deles podem existir no namespace Microsoft.Win32.SystemEvents para .NET

Se alguma dessas rotas for uma rota, você pode encontrar as seguintes informações úteis