Как можно использовать системные журналы для отслеживания активности пользователя?

Некоторые способы использовать системные журналы для отслеживания активности пользователя:

• Просматривать журналы через встроенное приложение «Просмотр событий» (Event Viewer). serverspace.ru Для удобства просмотра и управления системные журналы разбиты на категории: serverspace.ru

• Приложения (Application) — содержит события и ошибки приложений; serverspace.ru

• Безопасность (Security) — если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием событий безопасности (например, авторизация пользователя или попытки неудачного входа в операционную систему); serverspace.ru

• Система (System) — здесь регистрируются события операционной системы и системных сервисов; serverspace.ru

• Установка (Setup) — события, связанные с инсталляцией обновлений Windows, дополнительных приложений. serverspace.ru

• Использовать функцию фильтрации журнала. serverspace.ru Для этого нужно правый кликнуть по журналу и выбрать «Фильтр текущего журнала…» или выбрать соответствующую функцию в панели быстрых действий. serverspace.ru Открывшееся окно позволит настроить фильтр и отобразить только те события, которые необходимы в данный момент. serverspace.ru

• Отслеживать события, связанные с регистрацией в неурочное время. www.osp.ru Это часто свидетельствует о необычной активности пользователей. www.osp.ru

Также для мониторинга активности пользователя можно использовать специальные программы, которые объединяют журналы с нескольких компьютеров в одну базу данных, формируют сводные отчёты и выдают предупреждения о тех или иных нежелательных ситуациях. www.osp.ru