Как добраться до логов Винды?

[puzik_off]

Вопрос к системщикам.

Вводные:
Есть сервер, под ХР, 2003, 2008 или 7 Виндой
Есть удаленный сетевой комп с которым этот сервер постоянно работает.

Задача:
По программной команде, выкинуть удаленный компутер из сети и уничтожить все следы его присутствия в системе.

Есть в Винде ХР три файла журналов (не считая интернет):
WINDOWS\system32\config\SysEvent.Ev t
WINDOWS\system32\config\SecEvent.Ev t
WINDOWS\system32\config\AppEvent.Ev t

вопросы:
1) Есть ли в каком то из этих журналов нужные данные?
если есть то в каком и как программно его почистить?

2) Где еще кроме этих Журналов Может храниться инфа о былом присустсвии удаленного компа?
(Архив System Volume Information будет заблаговременно отключен)

Ручной доступ через Панель управления/Администрирование/Просмотр событий не катит,- нужен программный доступ.

Есть хотя бы общие идеи куда копать?

[puzik_off]

Неужели ни кто не работал с лог-файлами Винды?

[Баламут]

Ну почему же не работали? Очень даже работали. Вот только муторно это. Смотри в сторону ф-ий OpenEventLog, ReadEventLog и т.д. В MSDN они подробно описаны.

[DarkEvil]

Собственно логами дело не ограничится, так как если на компе были какие-то шары то могут остатся ярлыки на их... хотя идея(как системщику) затирать инфу о компе совсем не понятна...
+ если комп ходил в интернет через шлюз то 80% что на шлюзе тоже будет лог, в большинстве организациях используются прокси, там тоже будет лог... уж больно эта затея мне кажется не оправдана )))

[Sparky]

у меня была несколько другая задача, необходимо было собирать информацию из журналов безопасности SecEvent.Evt, кстати в семерке у него расширение evtx. Вообщем в краце о том что сделала, может пригодиться. Исползовала WMA, стандартный компонент Windows,(в Homa Edition его нет) и при помощи него пересылала информацию из журналов в бд находящуюся на сервере, а потом просмотр и управление осуществлялось при помощи web-форм.

[puzik_off]

1) этот комп - ни куда "не ходит", это удаленный сервер, он установлен в другом помещении и работает в необслуживаемом круглосуточном режиме, и еще хорошо что не NAS а PC он...

2) "шар" с него нет на рабочих компах, запрещено их создавать и делать.
(да и "шары" б скинуть не было б проблем, у меня уже написан модуль делающий это)

Итак: остаются только стандартные логи? КАкой из них?

Кстати я смотрел на 5-6 компах, (ХР,2003) - лог "безопасность" везде "по умолчанию" выключен. Это так у всех?

[Баламут]

Лог Безопасности. И если на 2003-м серваке он отключен, то даже не знаю, что сказать об админе... Как посмотреть я уже сказал выше.

[puzik_off]

Цитата:

Сообщение от Баламут

Лог Безопасности. И если на 2003-м серваке он отключен, то даже не знаю, что сказать об админе... Как посмотреть я уже сказал выше.

С MSDN все понял, спс. буду копать, просто хотелось бы точно знать где еще кроме логов может остаться упоминание о "некогда присутствовавшем в сети компе"..)

кстати а можно программно выключить все логи в винде? разумеется из под "админа"... или это те же функции что вы указали?