這是一個跟進this question。從Windows審計日誌中提取任何機器特定的信息?
我遵循接受的答案,並認爲我對結果感到滿意,但遇到了障礙。
我從監控目錄服務器上運行我的C#程序的安裝。每次修改文件時,FileSystemWatcher都會觸發一個事件,該事件會導致程序檢查安全審覈日誌(已打開,請參閱上一個問題的解決方案)。
的問題
我的問題是,當我檢查安全日誌,遠程用戶修改文件後,他們會被記錄爲匿名用戶。特別是「NT AUTHORITY \ SYSTEM」。有沒有辦法從這些安全日誌中提取獨特的信息,這將有助於我區分修改文件的用戶?
的DEETS
我使用EventLog
閱讀這樣的安全日誌:
EventLog log = new EventLog("security");
EventLogEntryCollection col = log.Entries;
//...
string username = entry.UserName;
讓我知道是否需要更多細節。 – 2011-12-23 18:38:43
您是否嘗試過查看審覈條目以查看其中包含哪些信息? – 2011-12-23 18:45:30
我有。我可以區分的唯一相關信息是「客戶端登錄ID」,但該字段似乎永遠不會填充。 – 2011-12-23 18:54:28