Hur man övervakar starter och avstängningar av datorer?

Genom att hålla koll på start och avstängning av datorer kan en organisation övervaka datoranvändningen och påskynda den forensiska analysen i händelse av en olycka.

Granska start- och avstängningsperioderna för din dator
Kostnadsfri, fullständigt funktionell 30-dagars provperiod

  • Med inbyggd AD-granskning

  • Med ADAudit Plus

Heltäckande rapporter för att spåra starter och avstängningar av datorer.

ADAudit Plus är en omfattande granskningslösning i Active Directory som hjälper dig att övervaka och granska lokala inloggningar och utloggningar av domänanvändare. Den kan också spåra andra kritiska händelser som kan leda till nätverksavbrott. Med hjälp av ADAudit Plus kan du hålla koll på starter och avstängningar av alla datorer inom din domän.

De förbyggda rapporterna i lösningen som innehåller information om starter och avstängningar av datorer kan genereras automatiskt och skickas till dig via e-post med angivna intervall. Du kan också exportera dessa rapporter till ett valfritt format. Så här kan du få åtkomst till rapporter om start och avstängning med hjälp av ADAudit Plus:

Logga in på ADAudit Plus → Gå till fliken Rapporter → Under Rapporter om lokal inloggning/utloggning → navigera till rapporten Start och avstängning av datorer.

  • rapport om filåtkomst
    • Detaljerna som du kan få i denna rapport är:
      1. Datornamn
      2. Användaren som initierade åtgärden
      3. Tidpunkten då datorn startades
      4. Tidpunkten då datorn stängdes av
      5. Tidpunkten för den senaste utloggningen
      6. Aktiva timmar (den tid som datorn var inloggad/varaktighet mellan en start och motsvarande avstängning)
      7. Typ av avstängning (det finns två typer av avstängningar – den som inträffar när datorn faktiskt stängs av och den tillfälliga avstängning som inträffar när enheten startas om. )
      8. Datorprocessen som utlöser avstängningen

    • Du kan också spåra när en dator senast startades och stängdes av med hjälp av rapporten "Senaste start och avstängning av dator". Denna rapport kan tillhandahålla detaljer om vem som utförde åtgärden, när den inträffade och processen som utlöste starten eller avstängningen.

    Logga in på ADAudit Plus → Gå till fliken Rapporter → Under Rapporter om lokal inloggning/utloggning → navigera till rapporten Start och avstängning av datorer.

  • rapport om filåtkomst

Med inbyggd AD-granskning kan du övervaka start och avstängning av datorer på följande sätt:

  • Steg 1: Aktivera principen "Granska inloggningshändelser"

  • Starta "Serveransvarig" i din instans för Windows-server.

  • Under Hantera väljer du "Hantering av grupprincip" och startar Group Policy Management Console.

  • Navigera till Skog --> Domän --> Din domän --> Domänkontrollanter.

  • Skapa en ny GPO och länka den till den domän som innehåller datorobjekten eller redigera någon befintlig GPO som är länkad till domänen för att öppna "Group Policy Management Editor".

  • Navigera till Datorkonfiguration -> Windows-inställningar -> Säkerhetsinställningar -> Lokala principer -> Granskningsprincip.

  • Under Granskningsprincip väljer du "Granska systemhändelser" och slår på granskning för både lyckade och misslyckade händelser.

    how-to-monitor-computer-startup-shutdown-history-system-events
  • Steg 2: Aktivera granskning av "Inloggning/Utloggning"

  • Navigera nu till Datorkonfiguration -> Windows-inställningar -> Säkerhetsinställningar -> Konfiguration av avancerad granskningsprincip -> Principer för systemgranskning - Objekt för lokal gruppprincip -> System.

  • Under System möjliggör du granskning av "Granska ändring av säkerhetsförhållande", (Slå på granskning för både lyckade och misslyckade).

    how-to-monitor-computer-startup-shutdown-history-logon-logoff
  • Steg 3: Spåra start och avstängning av datorer i Loggbok

  • Varje gång en användare startar eller stänger av en dator kommer en händelselogg att registreras i Loggboken. Dessa händelseloggar kan användas för att spåra datorns aktiva tider. Om du vill visa dessa granskningsloggar går du till Loggboken. Under Windows-loggar väljer du System. Du kan hitta alla granskningsloggar i den mittersta rutan enligt bilden nedan.

  • Om du vill filtrera händelseloggarna så att du bara ser loggar associerade med start och avstängning av dator, väljer du "Filtrera nuvarande logg" från den högra rutan. Sök bara efter händelse-ID 6005 (dator startades), 6006 (dator stängdes av). Du kan se när datorn startades och stängdes av.

    how-to-monitor-computer-startup-shutdown-history-event

    • Med hjälp av denna information kan du identifiera när en dator stängdes av eller startades. Denna process behöver upprepas flera gånger om du vill övervaka flera enheter.

Börjar inbyggd granskning bli lite för mycket?

Förenkla granskningen och rapporteringen av start och avstängning av datorer med ADAudit Plus.

Få din kostnadsfria provperiod30 dagars provperiod med full funktionalitet
ADAudit Plus