Как я считаю успешную Аутентификацию Пользователя домена (Журнал Ins) с LogParser
Поскольку я сказал относительно этого (почти) идентичного вопроса:
Вы уверены, что это действительно, что Вы хотите сделать? Существует очень хорошая статья о том, почему это - плохая плохая плохая идея, законченная в Joel на программном обеспечении (см. точку № 3)...
Заключительный отчет:
Заключение: в следующий раз кто-то пытается продать Вам продукт программирования, который позволяет Вам ресурсы сети доступа, которыми было то же, поскольку Вы получаете доступ к локальным ресурсам, выполняете полную скорость в противоположном направлении.
Если Вы хотите знать, почему, считайте соответствующие части статьи.
И короткий ответ на Ваш вопрос: Нет. Не легко, и причина то, что локальный диск, как ожидают, будет иметь все виды функциональности, которую не делает сетевой ресурс. Локальный диск ожидает локальную файловую систему (NTFS/FAT/и т.д.), который сетевой ресурс не имеет (Ну, это делает, но в сервере это размещается на, не Ваше местоположение), а также большое количество других функций, которые просто не могут безопасно или надежно копироваться (см. связанный artical).
W3SVC1 журналы укажут на состояние HTTP запросов. Ваша аутентификация зарегистрирована Security журнал событий. Успешные сетевые входы в систему регистрируют Идентификатор события 540, Тип 3.
Создайте простой файл SQL для этого названного запроса query.sql:
SELECT
TimeGenerated,
EventID,
EXTRACT_TOKEN(Strings,0,'|') AS User,
EXTRACT_TOKEN(Strings,3,'|') AS Type
FROM
Security
WHERE
(EventID = 540) AND (Type LIKE '3')
ORDER BY
TimeGenerated
DESC
И затем мы можем генерировать DataGrid для бросания беглого взгляда:
LogParser.exe file:query.sql -o:DATAGRID -i:EVT
Обратите внимание на то, что сетевые входы в систему также включают аутентификации доступа принтера и совместно используемый файл. Если Ваш сервер IIS совместно использует принтеры или файлы за пределами IIS, Вам, возможно, понадобится другой метод сбора этих данных.
@dexter, Но блоги действительно отслеживают аутентификацию. Если Вы получаете 200 с domain\user, Вы успешно прошли проверку подлинности к тому элементу. Вы не могли бы быть разрешены сделать ничего, но Вы прошли проверку подлинности к веб-серверу успешно.
Вероятно в журналах W3SVC, что Вы видели бы успешные 200 после 401 на каждом элементе страницы (изображения, JavaScript, и т.д.), таким образом, это не действительно полезное количество, поскольку единственная страница может показать 10 + аутентификация для каждого пользователя. Но если бы Вы сузили его с синтаксическим анализатором журнала к определенному элементу скажем index.aspx, который сказал бы Вам, сколько успешных аутентификаций против того файла и Вы могли проигнорировать остальную часть загрузок на той странице.
Вы могли бы также хотеть проигнорировать https состояние и просто наблюдать за domain\user против конкретного файла. Тем путем Вы получили бы аутентификацию, которая обнаруживается как что-то еще (напр. 500 ошибок), где аутентификация работала, но что-то на отказавшей странице.