Windows 域。
问题出在审核功能上。我知道如何启用审核Group policy,但存在问题。我们的一个domain admins用户使用 hyper-v 杀死了主机,我们不知道是谁杀死的。group policy标准登录日志曾在这台计算机上,现已被销毁。
正如我所说,当前的问题无法解决,但对于未来,我们需要某种工具。
我的第一个想法是power shell或PHP在用户登录时启动脚本并在 SQL 中插入,但如果用户登录到其他计算机并从那里执行\\computer\c$并终止所有操作,则脚本将无法运行。
是否存在windows某种工具或者第三方软件可以将日志从计算机存储到另一个地方,rsyslog也就是说将当前计算机日志复制到某些排除在域之外且只有本地用户的服务器?
任何good practices感谢。谢谢。