Protokollierungssoftware? Systemprotokoll / Rechner gestartet?

Diskutiere Protokollierungssoftware? Systemprotokoll / Rechner gestartet? im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo! Wir haben einige Desktoprechner mit Win XP und Vista, die im Universitätsnetzwerk hängen. Nachdem einige Nutzer Unregelmäßigkeiten (in den...

ignoramus

Threadstarter
Dabei seit
25.04.2006
Beiträge
57
Hallo!

Wir haben einige Desktoprechner mit Win XP und Vista, die im Universitätsnetzwerk hängen. Nachdem einige Nutzer Unregelmäßigkeiten (in den E-Mail-Konten) festgestellt haben, habe ich mir mal unter der Ereignisanzeige das Systemprotokoll anzeigen lassen - und auch Einträge gefunden, die zu einer Zeit stattfanden, an der der autorisierte Nutzer nicht anwesend war. So steht da mehrmals:

(i) Informationen 31.03.2007 23:13:12 Service Control Manager keine 7035 SYSTEM

Meine Frage: Kann ich bei solchen Einträgen davon ausgehen, dass der Rechner wirklich zu dieser Zeit angeschaltet wurde, oder ist es auch möglich, dass über das Netzwerk ein Zugriff erfolgte?

Da die Rechner heruntergefahren wurden, kann doch eigentlich nichts in die Logs kommen, bis der Anschalter von einem echten Mensch bedient wird (mal ganz platt gesagt)?
 
Zuletzt bearbeitet:

Mike

i7-6700HQ
Dabei seit
21.09.2006
Beiträge
24.384
Ort
Outdoor oder vorm Rechner
Kann ich bei solchen Einträgen davon ausgehen, dass der Rechner wirklich zu dieser Zeit angeschaltet wurde, oder ist es auch möglich, dass über das Netzwerk ein Zugriff erfolgte?

Wenn etwas im Ereignisprotokoll steht, MUSS der Rechner angeschalten sein, wie sollte sich sonst etwas hineinspeichern können. Das geht einfach nicht.

Wenn das was steht, bedeutet dass, das der Rechner um diese Uhrzeit lief.

Du solltest im Systemprotokoll nach dem Ereignis "EVENTLOG" 6005 suchen. Das ist der Zeitpunkt zu dem der erste Dienst gestartet wurde - nämlich die Ereignisanzeige. Das ist gleichzeitig die Zeit zu der der PC eingeschalten wurde. Muss also vor dem anderen Ereignis liegen.
 

ignoramus

Threadstarter
Dabei seit
25.04.2006
Beiträge
57
Wenn etwas im Ereignisprotokoll steht, MUSS der Rechner angeschalten sein, wie sollte sich sonst etwas hineinspeichern können. Das geht einfach nicht.

Danke Dir für die Antwort!!!

Jetzt müssen wir den Bösewicht finden, der um Mitternacht durch unsere Büros schleicht...

PS: Booten über Netzwerk kann man doch ausschließen, wenn man sowas nicht explizit eingerichtet hat, oder?
 

Travel-pc

Laptop-Fan
Dabei seit
25.08.2006
Beiträge
6.092
Ort
Nord-Europa
Hallo,

in einigen Tools kann man auch die genaue Bootzeit sehen, z.b. SIW.exe

Bei einigen Rechner ist ja das Booten auch mit dem Einschalten der 220Volt
gekoppelt ( reboot on powerfail ) , das könnte auch eine Ursache gewesen sein ??

;-)
 
Zuletzt bearbeitet:

ignoramus

Threadstarter
Dabei seit
25.04.2006
Beiträge
57
Umfassender protokollieren?

Habe jetzt mal Scrrenshots der Protokollierung an unser Rechenzentrum geschickt. Mal sehen, was die dazu sagen.

Kann mir vielleicht jemand eine Software empfehlen, die umfassend protokolliert, was auf einem XP/Vista-Rechner passiert, also auch, welche Programme aufgerufen werden und beispielsweise welche Dateien unter "Eigene Dateien" geöffnet werden?
 

Mike

i7-6700HQ
Dabei seit
21.09.2006
Beiträge
24.384
Ort
Outdoor oder vorm Rechner
Kann mir vielleicht jemand eine Software empfehlen, die umfassend protokolliert, was auf einem XP/Vista-Rechner passiert, also auch, welche Programme aufgerufen werden und beispielsweise welche Dateien unter "Eigene Dateien" geöffnet werden?

Es gibt viele Protokollierungssoftwarepackete, einfach nach Monitoring-Tools googeln.

ALLERDINGS: Der Einsatz solch einer Software ist (ohne Mitteilung an den Anwender den es betrifft) verboten!
 

ignoramus

Threadstarter
Dabei seit
25.04.2006
Beiträge
57
ALLERDINGS: Der Einsatz solch einer Software ist (ohne Mitteilung an den Anwender den es betrifft) verboten!

Und wo will man da die Grenze ziehen zu den ja auch recht fein einstellbaren Protokollierungsfunktionen, die man bei Windows auch noch aktivieren kann, wie ich jetzt gesehen habe? Wird schwierig.

Wer will dem Arbeitgeber vorschreiben, was er für Software installieren darf? Nur die betriebssystemeigenen? Was ist ein Betriebssystem? Bei Linux sieht das ganz anders aus. Tausende unterschiedlich konfigurierte Distributionen... die eine protokolliert mehr, die andere weniger.

... nur so die ersten Gedanken, die einem Juristen einfallen, wenn er hört: "das ist verboten". Aber wir schweifen ab.

Wir sind ja die Guten. Wir machen nichts Verbotenes.

PS: Außerdem ging es hier ja darum, einen unautorisierten Eindringling zu ertappen. Nicht den legitimen Nutzer. Natürlich wird der informiert. Der will es ja gerade selbst wissen, was auf seinem Rechner so passiert.
 
Thema:

Protokollierungssoftware? Systemprotokoll / Rechner gestartet?

Protokollierungssoftware? Systemprotokoll / Rechner gestartet? - Ähnliche Themen

Windows Shutdown - mehr Infos als in der Ereignisanzeige möglich?: Hallo zusammen, auf einem Rechner erfolgt das Herunterfahren wie folgt: Herunterfahren auslösen 1-3 Minuten passiert nichts, man kann in der...
Upgrade auf 1803 mit "systemprofile/desktop"-Fehler: Hallo Microsoft-Support, Nach einem Tweet meinerseits () wurde ich prompt vom freundlichen Social-Media-Team angeschrieben und mir wurde eine...
Ultra HD Blu Ray: alle Filme in Deutschland auf dem neuen Datenträger - UPDATE: 26.01.2016, 15:37 Uhr: Ab Anfang März 2016 werden die ersten Ultra HD Blu Ray Player sowie die entsprechenden Discs verkauft werden. Den Anfang...
Der Dau V 2.10: 1994 (Duemmster Anzunehmender User) Also der Cousin eines Freundes arbeitet wirklich in der Serviceabteilung bei Nixdorf...
Windows Reperaturinstallation endet mit Bleuscreen: So ich sitze hier am betroffenen Rechner (dazu unten mehr) und bin am verzweifeln. Also zuerst einmal die Vorgeschichte: Von einem Tag auf den...
Oben