Лог Вам
ничем тут не поможет. Меры должны быть превентивными. Какими — я изложил выше. Подбор паролей должен пресекаться на корню той же групповой политикой — в «Политика блокировки учётной записи». «Родная» административная учётная запись «Администратор/Administrator» должна быть переименована и/или отключена.
Цитата rosalin:
|
кинуть в logon и пусть при входе юзеров, для каждого пишет »
|
Не в Logon. В Startup. Иначе будете иметь столько же одинаковых логов, сколько будет зарегистрированных в данный момент на машине учётных записей.
Пробуйте:
читать дальше »
Код:
Option Explicit
Const ForAppending = 8
Const TristateTrue = -1
Const TemporaryFolder = 2
Dim strComputer
Dim objSWbemLocator
Dim objSWbemServicesEx
Dim objSWbemEventSource
Dim objSWbemObjectEx
Dim objFSO
Dim objTS
Dim strPath
Dim strDomain
Dim strUser
strComputer = "."
Set objSWbemLocator = WScript.CreateObject("WbemScripting.SWbemLocator")
Set objSWbemServicesEx = objSWbemLocator.ConnectServer(strComputer, "root\cimv2")
Set objSWbemEventSource = objSWbemServicesEx.ExecNotificationQuery( _
"SELECT * FROM __InstanceCreationEvent WITHIN 1 " & _
"WHERE TargetInstance ISA 'Win32_Process'")
Set objFSO = WScript.CreateObject("Scripting.FileSystemObject")
strPath = objFSO.BuildPath(objFSO.GetSpecialFolder(TemporaryFolder), "Application activity.log")
Do
Set objSWbemObjectEx = objSWbemEventSource.NextEvent()
Set objTS = objFSO.OpenTextFile(strPath, ForAppending, True, TristateTrue)
With objSWbemObjectEx.TargetInstance
If .GetOwner(strUser, strDomain) <> 0 Then
strDomain = "Unkhown"
strUser = "Unkhown"
End If
objTS.WriteLine _
Now() & vbTab & _
.Name & vbTab & _
.ProcessID & vbTab & _
.ParentProcessID & vbTab & _
.ExecutablePath & vbTab & _
.CommandLine & vbTab & _
strDomain & "\" & strUser
End With
objTS.Close
Set objTS = Nothing
Loop
Set objFSO = Nothing
Set collSWbemObjectSet = Nothing
Set objSWbemServicesEx = Nothing
Set objSWbemLocator = Nothing
WScript.Quit 0
