2
Auf TS protokollieren wer ein bestimmtes Programm startet
Hallo Admins
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet
Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?
Danke und Gruss
P.
Auf einem Terminalserver (Win2012r2) hab ich ein Programm installiert, bei dem ich gerne wissen möchte, wer es benutzt/startet.
Es geht mir dabei darum fest zu stellen, ob ich genügend Lizenzen habe.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Was ich möchte wäre eine Übersicht ala:
User A hat Notepad gestartet
User C hat Notepad gestartet
User F hat Notepad gestartet
Kann ich das irgendwie verfeinern?
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Oder gibt es etwas anderes?
Danke und Gruss
P.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328805
Url: https://administrator.de/contentid/328805
Printed on: April 26, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hi,
Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
E.
Jetzt hab ich in den Sicherheitsrichtlinien die Prozessverfolgung aktiviert, dort wird aber jedes Programm protokolliert.
Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Machst Du irgendwas falsch.Welches Programm gestartet wurde, steht dort aber imText und wenn ich danach suche nach, z.B. Notepad.exe findet er nix.
Oder würdet ihr eine Stellvertreter exe basteln, die den user protokolliert und dann die richtig exe startet?
Ja, würde auch gehen. z.B. ein PS-Script, oder VBscript. Allerdings verhindert das nicht, dass jemand direkt über den Explorer zur Exe navigiert und diese dann startet.Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
E.
Machst Du irgendwas falsch.
Yep sieht so aus...Du könntest auch einfach die Dateiüberwachung aktivieren und dann nur eine Überwachungsregel für diese eine Exe festlegen. Dann hast Du auch nur für diese Exe Einträge im Log.
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
siehe z.B. hier: http://blogs.splunk.com/2013/07/08/audit-file-access-and-change-in-wind ...
Das ist eigentlich genau das wonach ich suchte! Danke Emeriks.
Dabei fiel mir auf, dass auch auf dem Ordner "C:\Windows\WinSxS\FileMaps" eine Überwachung eingerichtet wurde.
Ist das so oder wurde die vor meiner Zeit eingerichtet?
PS: mit
Get-EventLog -LogName Security -InstanceId 4663 -Newest 1 | Select @{Name="UserName";Expression={ $_.ReplacementStrings[1,6] }} Gruss
P.