Protokollierungssoftware? Systemprotokoll / Rechner gestartet?

[ignoramus]

Hallo!

Wir haben einige Desktoprechner mit Win XP und Vista, die im Universitätsnetzwerk hängen. Nachdem einige Nutzer Unregelmäßigkeiten (in den E-Mail-Konten) festgestellt haben, habe ich mir mal unter der Ereignisanzeige das Systemprotokoll anzeigen lassen - und auch Einträge gefunden, die zu einer Zeit stattfanden, an der der autorisierte Nutzer nicht anwesend war. So steht da mehrmals:

(i) Informationen 31.03.2007 23:13:12 Service Control Manager keine 7035 SYSTEM

Meine Frage: Kann ich bei solchen Einträgen davon ausgehen, dass der Rechner wirklich zu dieser Zeit angeschaltet wurde, oder ist es auch möglich, dass über das Netzwerk ein Zugriff erfolgte?

Da die Rechner heruntergefahren wurden, kann doch eigentlich nichts in die Logs kommen, bis der Anschalter von einem echten Mensch bedient wird (mal ganz platt gesagt)?

 

[Mike]

Kann ich bei solchen Einträgen davon ausgehen, dass der Rechner wirklich zu dieser Zeit angeschaltet wurde, oder ist es auch möglich, dass über das Netzwerk ein Zugriff erfolgte?

Wenn etwas im Ereignisprotokoll steht, MUSS der Rechner angeschalten sein, wie sollte sich sonst etwas hineinspeichern können. Das geht einfach nicht.

Wenn das was steht, bedeutet dass, das der Rechner um diese Uhrzeit lief.

Du solltest im Systemprotokoll nach dem Ereignis "EVENTLOG" 6005 suchen. Das ist der Zeitpunkt zu dem der erste Dienst gestartet wurde - nämlich die Ereignisanzeige. Das ist gleichzeitig die Zeit zu der der PC eingeschalten wurde. Muss also vor dem anderen Ereignis liegen.

 

[ignoramus]

Wenn etwas im Ereignisprotokoll steht, MUSS der Rechner angeschalten sein, wie sollte sich sonst etwas hineinspeichern können. Das geht einfach nicht.

Danke Dir für die Antwort!!!

Jetzt müssen wir den Bösewicht finden, der um Mitternacht durch unsere Büros schleicht...

PS: Booten über Netzwerk kann man doch ausschließen, wenn man sowas nicht explizit eingerichtet hat, oder?

 

[Travel-pc]

Hallo,

in einigen Tools kann man auch die genaue Bootzeit sehen, z.b. SIW.exe

Bei einigen Rechner ist ja das Booten auch mit dem Einschalten der 220Volt
gekoppelt ( reboot on powerfail ) , das könnte auch eine Ursache gewesen sein ??

 

[ignoramus]

Umfassender protokollieren?

Habe jetzt mal Scrrenshots der Protokollierung an unser Rechenzentrum geschickt. Mal sehen, was die dazu sagen.

Kann mir vielleicht jemand eine Software empfehlen, die umfassend protokolliert, was auf einem XP/Vista-Rechner passiert, also auch, welche Programme aufgerufen werden und beispielsweise welche Dateien unter "Eigene Dateien" geöffnet werden?

 

[Mike]

Kann mir vielleicht jemand eine Software empfehlen, die umfassend protokolliert, was auf einem XP/Vista-Rechner passiert, also auch, welche Programme aufgerufen werden und beispielsweise welche Dateien unter "Eigene Dateien" geöffnet werden?

Es gibt viele Protokollierungssoftwarepackete, einfach nach Monitoring-Tools googeln.

ALLERDINGS: Der Einsatz solch einer Software ist (ohne Mitteilung an den Anwender den es betrifft) verboten!

 

[ignoramus]

ALLERDINGS: Der Einsatz solch einer Software ist (ohne Mitteilung an den Anwender den es betrifft) verboten!

Und wo will man da die Grenze ziehen zu den ja auch recht fein einstellbaren Protokollierungsfunktionen, die man bei Windows auch noch aktivieren kann, wie ich jetzt gesehen habe? Wird schwierig.

Wer will dem Arbeitgeber vorschreiben, was er für Software installieren darf? Nur die betriebssystemeigenen? Was ist ein Betriebssystem? Bei Linux sieht das ganz anders aus. Tausende unterschiedlich konfigurierte Distributionen... die eine protokolliert mehr, die andere weniger.

... nur so die ersten Gedanken, die einem Juristen einfallen, wenn er hört: "das ist verboten". Aber wir schweifen ab.

Wir sind ja die Guten. Wir machen nichts Verbotenes.

PS: Außerdem ging es hier ja darum, einen unautorisierten Eindringling zu ertappen. Nicht den legitimen Nutzer. Natürlich wird der informiert. Der will es ja gerade selbst wissen, was auf seinem Rechner so passiert.