根据您的日志记录级别,您可以查看事件日志并查看谁调用了安装程序。
事实上,我刚刚在默认的 2008 R2 虚拟机上安装了 Adobe Reader,并且确实发现它记录了安装该程序的用户。有点。
事件 ID 1040,来源:MsiInstaller 用户 ID:[GUID]。
将该 GUID 与用户相关联,您就大功告成了。
当然,如果您不幸没有该日志条目,那么最好的办法是查看是否可以确定它是何时安装的,并将其与安全事件日志相关联以确定当时有一个交互式登录会话。
Adobe 安装程序日志也可能更有助于缩小安装的精确时间,因为您的日志记录级别甚至可能没有在事件日志中记录非 MS 应用程序安装。无论哪种方式,可能都需要找到准确的时间,并查看安全日志以确定在那段时间内谁打开了类型 2 或类型 10 的登录。
这真的很痛苦,如果你是那个将被降级为潜水日志的人,那么快速分析一下找出这个问题的成本/收益细分可能不是一个可怕的主意[不完全是决定性的] 信息,因为它不完全是确凿的证据。它会给你一个非常有力的例子,说明是谁做的,但除非你有足够高的日志记录级别来查看哪个用户调用了安装程序,否则它不会被视为明确的证据。(或者至少我从来没有见过那样做。)
| 归档时间: |
|
| 查看次数: |
53957 次 |
| 最近记录: |