Hitta, exportera och spåra inloggningar i Windows

Inloggningar i Windows för företag, molnleverantörer och driftsbyråer

backup disaster recovey koninuitetsplaner IT säkerhet molntjänster syspeace
För alla företag, driftsbyårer och molnleverantörer är det viktigt att kunna ta fram olika typer av rapporter för hur användare och kunder varit inloggade. Om du har satt upp åtkomst till din Windows PC med Remote Desktop är det här också relevant.
Tyvärr är det komplicerat att hitta och spåra inloggningar i Windows. Det går att göra men är ganska tidskrävande,

För ett företag kan det handla om t.ex. att se om en viss person verkligen har jobbat under den perioden som den påstår och varifrån.
Om det är någon som reser mycket eller varit borta mycket men på lite oklara grunder måste det finnas en möjlighet för arbetsgivaren att kontrollera när och varifrån någon varit inloggad utifall en varning behöver ges och man vill ha underlag för det.

Ur säkerhetssynpunkt vill man också veta om t.ex. någon före detta anställd försökt använda sitt konto efter de blivit uppsagda och kontot har stängts då det kan handla om framtida rättsliga åtgärder p.g.a. försök till dataintrång.
Vilket företag vill ha sin kunddatabas på vift till en före detta säljare som kanske gått till en konkurrent?

Ge kunderna rapporter och statistik för driftsbyrårer och molnleverantörer

Som driftsbyrå eller molnleverantör kan behovet av att kunna ge kunderna den informationen vara viktig som en tredje, obeorende part men även att själva kunna filtrera ut alla inloggningar från en viss IP adress eller filtrera ut alla inloggningar som inte innehåller ett visst användarnamn t.ex. “juha.jurvanen”. I vissa fall vill man även kunna påvisa för en kund att de verkligen har nyttjat ens tjänster utfiall man hamnat i en dispyt kring användadet och fakturor.

De inbyggda funktionerna i Windows

De inbyggda mekanismerna i Windows är väldigt begränsade för den här typen av hantering.
För att se om t.ex. “juha.jurvanen” varit inloggad så öppnar man Windows Event viewer och loggen Security , högerklicka och väljer “Find”.

Här kan man söka t.ex. alla händelser som innehåller “juha.jurvanen” eller en viss IP adress.

Listan man får upp är varje händelse för sig i en lång lista och innehåller egentligen bara rådata på varje rad.
För varje träff i loggen kan man sedan trycka nästa och se nästa träff i loggen.
Sökningen tar lång tid och loggen skrivs per automatik över om den blir för stor.
Man har alltså inte kvar så länge och den kan rensas av någon med administrativa rättigheter som kanske inte vill att informationen ska kunna tas fram.

Det finns inget sätt att exportera t.ex. bara de logghändelser som innehåller just “juha.jurvanen” utan valet som finns är att exportera alla händelser eller några manuellt utvalda, händelse för händelse.

Formaten att exportera till är en egen loggfil med filändelsen .evtx (eller .evt i Windows Serevr 2003), .csv, textfil eller xml.
De filerna kan i sin tur importeras till t.ex. Excel och filtreras, sökas och formateras.

Informationen i sig är som sagt bara rådata och ger ingen överblick om t.ex. varifrån inloggningen kom. Det får man undersöka i efterhand med t.ex. WHOIS o.s.v

Möjligheten att göra en sökning direkt i loggen på t.ex. alla misslyckade inlogningar som INTE är “juha.jurvanen” och som är inom ett visst intervall t.ex under den senaste veckan finns helt enkelt inte.

Som systemadministratör vill jag kanske se alla inloggningar som inte kommer från den här specfika IP adressen men innehåller användarnamnet “juha.jurvanen”. Det här kan ju t.ex. handla om min VD vill veta om jag ens varit i landet under just den perioden.

Det går alltså att få fram grundinformationen men det kan vara ett ganska komplicerat och manuellt arbete men ändå något som era kunder förväntar sig ni ska kunna få fram och utan stora extra kostnader för er tid.

Hantera inloggningsrapporter med Syspeace

Här har jag gjort en video på hur man kan få fram all relevant information väldigt enkelt med Syspeace där man snabbt och enkelt söka på alla inloggningar, både lyckade och misslyckade, t.ex. “juha.jurvanen” eller alla inloggningar från en viss IP adress under en viss period.

Jag kanske vill se alla inloggningar som inte är juha.jurvanen eller alla inloggningar som misslyckats men som inte är från en viss IP adress?

Jag vill kanske också filtrera informationen på den senaste veckan eller under en viss period under förra året och kunna klicka på informationen för att se varifrån inloggningen skedde, hur mångar gånger o.s.v

Resultaten kan enkelt exporteras till en .csv fil och sedan t.ex. skapas som en ,pdf för att ge kunden som frågat efter informationen. Jag har många gånger även använt dessa rapporfte för att påtala intrångsförösk som skett mot mina kunder och snabbt fått fram information jag kunnat ge till det företaget eller leverantören som försökt med lösenorsatatcker mot mina kunder. Jag har bara helt enkelt skapat en mall i vilken jag klistrar in informationen från Syspeace och mailar iväg.

Syspeace är alltså en billig och enkel lösning för att snabbt kunna ge kunden eller VD den informationen som de vill ha och ett enkelt verktyg för systemadministratören att se vad som pågår i nätverket kring inloggningar.

Kontakta mig för möte