我的要求是在 Win xp 和 hp 瘦客户端(XP 嵌入式)机器上捕获用户登录/注销、锁定/解锁活动的时间戳。目前,我正在使用满足我要求的 Windows 服务执行此操作,但由于某些原因服务停止(无法找到原因)并且我们丢失了数据。我尝试的第二种方法是阅读事件日志安全选项卡,在该选项卡中捕获了高于活动的用户。不幸的是,Win XP 没有捕获锁定事件,并且当我重新启动瘦客户端机器时,日志也会被清除。所以这种方法也不适合我。请向我建议实现上述要求的方法/解决方案或任何适用于上述目的的工具。
提前致谢。
我假设因为您在谈论锁定/解锁您的机器在域上?域控制器具有用于锁定的事件日志条目。请注意,由于事件已“升级”,2003 服务器和 2008 服务器上有不同的代码。
远程处理事件日志非常困难,因此在我看来,域控制器上的服务以及记录到中央 Web 服务(或数据库)的每台机器上的服务是最可靠的方法。
编辑:您也可能在域控制器上捕获登录/注销事件,请参阅此链接:http ://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx
或者,您可以从中央源轮询这些机器的事件日志。这不适用于域控制器,因为良好的做法要求它们仅将事件日志保留很短的时间,但它可能适用于您的瘦客户端。这与我的首选解决方案相去甚远,但是因为轮询需要很长时间,并且您会遇到大量(瘦)客户端的扩展问题。