Сообщений в теме: 3

[студент_86]

Здравствуйте! Есть два вопроса, ос winxp sp2

1. Возможно ли настроить системный журнал так, чтобы отображалось включение - выключение сетевого подключения и по какой причине?

2. Можно ли проследить каким браузером пользуется человек (подозреваю что по привычке эксплорером, а я хочу чтобы оперой), через журнал или сторонний софт?

[Maikll]

По первому пункту:
необходимо уточнить, какой соединение имеется в виду. Windows отмечает в журнале только коммутируемые соединения (диал-ап, vpn и т.п.) иными словами только удаленный доступ. Если задача как раз и состоит в контроле такого соединения, то для него уже генерятся события RemoteAccess с кодами 20158 и 20159, если же имеется в виду lan-соединение, то стандартными средствами не реелизуемо - нужно использовать внешний обработчик.
так какое соединение тебе нужно?
по второму:
Опять же стандартными средствами не реализуется, но легко может быть выполнено сторонней программой, например nCron.
Вот примерный кронтаб для отслеживания запуска IE c записью события об этом в журнал приложений.

#( Start IE
AsLoggedUser
WatchProc: "iexplore.exe"
Action:
StartIn: "C:\" 
ShowNormal   NormalPriority
AsService
START-APP: C:\sss.vbs
)#

выполняется "отлов" запуска процесса iexplore.exe и при его появлении выполняется скрипт C:\sss.vbs следующего вида

Set objShell = Wscript.CreateObject("Wscript.Shell")

objShell.LogEvent EVENT_SUCCESS, _
	"Запущен Internet Explorer."

задача в данном примере запускается от имени пользователя, выполнившего logon.
минус такого способа - каждому открытому окну IE будет соответствовать новое событие в журнале (связано с особенностями работы этого браузера)
событие записывается скриптом, поскольку при использовании стандартного eventcreate пользователь будет видеть досовское окно на доли секунды при запуске.

ну и далее анализ журнала для удобства можно автоматизировать.
стандартным eventquery выберем все события, сгенерированные скриптом

cscript c:\\windows\system32\eventquery.vbs /l application /fi "id eq 0" >c:\log.txt

[студент_86]

насчет nncron - то что нужно, так и сделаю

а про соединение - нужно как раз именно lan, точнее уже не столько нужно, сколько просто самому интересно

[Maikll]

ну раз так, можно конечно прописать проверку пинга до определенного хоста и при обрыве действие, но я предпочел воспользоваться консольным аналогом диспетчера устройств devcon.
выполняем команду

devcon hwids * >с:\device.txt

в получившемся файле нужно найти описание сетевой карты, за которой будем следить. У меня оно выглядело так

Цитата

{1A3E09BE-1E45-494B-9174-D7385B45BBF5}\NVNET_DEV0373\4&55C493A&0&00
Name: NVIDIA nForce Networking Controller
Hardware ID's:
{1a3e09be-1e45-494b-9174-d7385b45bbf5}\NVNET_DEV0373

для дальнейшей работы понадобится Hardware ID
пишем бат файл следующего вида

@echo off
devcon status "{1a3e09be-1e45-494b-9174-d7385b45bbf5}\NVNET_DEV0373" | find /i "disabled"
if %errorlevel% == 1 goto Loop
EVENTCREATE /ID 1  /L APPLICATION /T WARNING /SO LAN_MONITOR /D "Network is disabled"
:Loop

только не забудь подставить код твоей сетевой.
далее с необходимой переодичностью нужно будет опрашивать состояние девайса, запуск можно делать средствами опять же ncron (строго говоря, можно было бы зациклить процесс опроса, но это слишком большая нагрузка на процессор)
для того, чтобы пользователь не видел окно бат-файла при его запуске, вызовем его средствами WSH (создав файл start_network_stat.vbs следующего вида)

Dim WshShell
set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "С:\\status_net.cmd",0

, где С:\\status_net.cmd указывает на расположение нашего батника.
start_network_stat.vbs вызывается средствами планировщика с заданной частотой, при отключенном сетевом соединении пишется запись с журнал приложений.

З.Ы, наверняка есть решения изящнее, но мне в голову пришло только это.
З.Ы.2 за прямую ссылку на утилиту спасибо Kobi

Сообщение отредактировал Maikll: 18 Март 2008 - 00:37