我需要弄清楚谁在服务器上安装了特定的程序(Adobe Flash)。
我怎样才能做到这一点?
答案1
根据您的日志记录级别,您可能能够查看事件日志并查看谁调用了安装程序。
事实上,我刚刚在默认的 2008 R2 VM 上安装了 Adobe Reader,并且发现它记录了安装该程序的用户。 有点。
事件 ID 1040,来源:MsiInstaller 用户 ID:[GUID]。
将该 GUID 与用户关联起来,您就成功了。
当然,如果您不幸没有该日志条目,那么最好的办法就是仔细检查,看看是否可以确定它的安装时间,并将其与安全事件日志进行关联,以确定当时是否有交互式登录会话。
Adobe 安装程序日志可能更有助于缩小安装的精确时间范围,因为您的日志记录级别可能甚至没有在事件日志中记录非 MS 应用程序的安装。无论哪种方式,都可能需要找到精确的时间,并查看安全日志以确定谁安装了打开类型 2 或类型 10 登录在那段时间内。
这确实有点麻烦,如果你是那个被派去进行日志挖掘的人,那么快速分析一下找出这些 [并非完全确定的] 信息需要花费多少成本/收益可能不是一个坏主意,因为它并不是确凿的证据。它会给你一个非常有力的证据来说明是谁做的,但除非你的日志记录级别足够高,可以看到哪个用户调用了安装程序,否则它不会被视为确凿的证据。(或者至少我从未见过有人这样做。)
答案2
使用事件查看器,您可以过滤Application log
事件 ID 11707
。按您认为程序安装的特定日期/时间进行搜索,它还会列出用户名。如果您需要跟踪谁在何时安装了什么,这非常有用。
或者,如果您需要查看Application log
谁11724
联合国安装了一个应用程序。
信息发现于本网站。
答案3
检查 c:\users\\downloads 和用户临时目录中是否存在与 adobe 相关的文件。