Мне нужно поймать время входа и выхода пользователей домена Win Srv 2012 (также, если возможно, время сна и пробуждения) и вставить это в таблицу sql для создания отчета, показывающего время работы пользователей. Все рабочие станции имеют Win 7 Pro и работают локально (не через терминальные службы). Из-за количества рабочих станций я бы предпочел, чтобы все сценарии / политики были на сервере.
Любая помощь будет высоко ценится.
С уважением, Прземек
Есть решение для ваших нужд:
1- используйте программный агент hids на клиенте для регистрации событий на сервере. Требуется установка на клиенте, сервере конфигурации, не работайте вне без vpn и т. Д. (Ossec или другие инструменты siem / hids справятся с этой задачей)
2- используйте возможность аудита Windows для централизации всех событий. Это работает без инструментов на стороне клиента. вам просто нужно запустить скрипт / gpo с конфигурацией для отправки журнала безопасности на сервер централизации. Посмотри на это: http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Centralized-Auditing-here-FREE.html
После этого вам понадобится скрипт для чтения журнала аудита на централизованном сервере и записи в базу данных.
Существуют такие инструменты, как Nxlog, Snare, которые выполняют эту работу (читают журнал событий и форматируют системный журнал). Logstash может читать системный журнал и записывать в базу данных (базу данных nosql или базу данных sql).
Есть и коммерческое программное обеспечение, делающее это, но не место об этом говорить (Google для коммерческого продукта).
ты можешь использовать Get-ADComputer
Get-ADComputer -identity <machineName> -Properties * | FT Name, LastLogonDate
machineName = имя целевой машины