Автор Тема: По каким признакам определить, что ПК/ВМ давно не используются?  (Прочитано 989 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Shmukler

  • Пользователь
  • **
  • Сообщений: 57
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: MO
Ситуация: есть пару сотен виртуальных пользовательских машин. По каким параметрам можно отследить, как долго они не используются? Утрируя - возможна ситуация, в которой пользователь залогинен на ВМ в системе, хотя сам уже давно ушел в другой отдел или вообще уволился, а виртуалка так и болтается в вакууме.

Вариант с автоматическим разлогином не подходит

Пока что придумал только забирать PoSh'иком события 4802, 4803, 4800, 4801 из eventlog'а
Спойлер для скрыто:
screensaver invoked, Event ID 4802
screensaver dismissed Event ID 4803
console locked: Event ID 4800
console unlocked: Event ID 4801
Тогда на большой дистанции будет видно, что какая-то ВМ ушла в хранитель экрана и месяц из него не выходила, например.

Ну, или перезагрузить их все разом и ловить события входа в систему  :D

Нет ли более изящного решения?

Оффлайн ds0m

  • Ветеран
  • *****
  • Сообщений: 1299
  • Рейтинг: 22
  • Пол: Мужской
    • ds0m.spb@gmail.com
    • Просмотр профиля
  • Откуда: DC
А машинки доменные?
<root> помимо принципа "работает - не трогай", есть ещё один важный принцип - "бритва Оккама" - "не приумножай сущность сверх необходимости"
А спонсор этого поста - прививка от бешенства. Прививка от бешенства - не твоя, вот ты и бесишься.

Оффлайн Shmukler

  • Пользователь
  • **
  • Сообщений: 57
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: MO

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
См. Event ID 4624/4634

Оффлайн Shmukler

  • Пользователь
  • **
  • Сообщений: 57
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: MO
Не подойдет, так как пользователь не обязательно разлогинивается, может просто закрыть сессию крестиком. Но, я тут подумал, что забыл про события подключения по RDP, попробую повыгружать их

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Дык в тех  событиях логон/логов тайп указывается