Пользователь
secedit /configure /cfg c:\XP\secsetup.inf /db secsetup.sdb /verbose /overwrite /quiet
[Event Audit] ; 0 - Выключено ; 1 - Только успех ; 2 - Только отказ ; 3 - Успех и отказ AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 3 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 3 AuditAccountLogon = 3
auditpol.exe /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable /failure:enable auditpol.exe /set /category:"Подробное отслеживание" /subcategory:"Завершение процесса" /success:enable /failure:enable
auditpol.exe /set /category:"Detailed Tracking" /subcategory:"Process Creation" /success:enable /failure:enable auditpol.exe /set /category:"Detailed Tracking" /subcategory:"Process Termination" /success:enable /failure:enable
В каком именно логе на машине пользователя хранится информация о времени запуска и завершения приложений?
Сами-то ваши сотрудники как к этому относятся?
можно получать вообще только интересующие события, а не все подряд
EventID 592 для создания процесса, 593 для завершения.
Настройки аудита.
Кусок из файла secsetup.inf:
Для 7:
EventID 4688 для создания процесса, 4689 для завершения.
Настройки аудита.
Для русской:
Для английской:
Конечно, если есть домен, настройки аудита должны быть прописаны в доменных политиках.
У нас приняты строгие, но справедливые документы (приказы/регламенты/инструкции/стандарты).
Я же ж ещё длительность считаю, а не просто факт запуска. Для нас это тоже важно.
Писать в базу и иметь веб-интерфейс — отличная идея. У меня так отчёты по инету реализованы.