MSXML 4.0 SP3 Parser что это за программа и нужна ли она? Парсер виндовс это


Msxml Parser - что это за программа? Есть ответ!

Многие начинающие пользователи персональных компьютеров считают, что для функционирования различного рода программ и приложений достаточно лишь установить операционную систему и соответствующие оборудованию драйвера.

Однако, если Вы лично сталкивались с установкой разнообразных программ, то наверняка знаете, что это вовсе не соответствует действительности. А дело вот в чем: довольно большое количество софта разрабатывается под определенную программную среду, что требует от операционной системы дополнительные системные файлы, которые не предусмотрены стандартной версией. К таким программным средам, или как еще их называют «оболочкам» можно отнести Java, net framework и конечно же msxml.

Msxml Parser что это за программа

Поэтому иногда во время запуска инсталлятора той или иной программы, можно получить всплывающее окошко, в котором будет указано, что требуется дополнительно произвести установку определенных компонентов, без которых даже инсталляцию произвести не удастся.

Так, к примеру, невозможно установить на компьютер программу для записи дисков Nero, предварительно не установив оболочку net framework.

Что такое Msxml Parser

Мsxml parser – это специальный набор служб, который обеспечивает работу приложений и программ, написанных на языках VBScript и Jscript, а также средствах разработки компании Microsoft, что позволяют создавать различные приложения для операционной системы Windows, основанные на eXtensible Markup Language (XML).

Данный язык рекомендован всемирным консорциумом W3C. Такая спецификация описывает процессы взаимодействия программ, работающих с XML.

Изначально этот язык разрабатывался для обработки и создания файлов программами, а также удобный для обработки документов человеком, с уклоном на использование его в интернете. Программа msxml расшифровуется никак иначе, как Microsoft XML.

Возможности программы Msxml Parser

Набор Microsoft XML поддерживает:

  • XSD, XDR, XML Schema;
  • XSLT 1.0;
  • DOM;
  • XML 1.0;
  • SAX;
  • прочие технологии XML.

Как пользоваться программой Msxml Parser

Msxml Parser что это за программа

Всё, что требуется рядовому пользователю – это при необходимости загрузить данный программный пакет и произвести его инсталляцию на свой компьютер, если в этом возникла необходимость.

Дальше человек не будет напрямую взаимодействовать с msxml parser. На данный момент последней версией программы является MSXML 4.0 включая Service Pack 3.

MSXML поддерживает операционные системы начиная с давно устаревшей версии Windows 2000, которая вряд ли сейчас где-то используется, следовательно, проблем с совместимостью возникнуть ни у кого не должно.

Существует два способа произвести установку MSXML 4.0. Первый – загрузить файл msxml.msi и запустить его, после чего будет установлен программный пакет msxml parser. Второй способ – использовать файл msxmlcab.exe, загрузив его через интернет.

Настройка Msxml Parser

После установки msxml никаких настроек в работе приложения производить не требуется. Поэтому всё, что необходимо сделать пользователю – произвести инсталляцию программы msxml parser на свой компьютер, а после чего работать с требуемыми приложениями.

Также можете прочитать похожие статьи:

faq-comp.ru

Что такое парсер (граббер)? | myblaze.ru

Parser парсер

ПАРСЕР
  • То же, что граббер, т. е. скрипт или программа, которые используются для сбора информации с сайтов для последующего размещения на собственных ресурсах.
  • Первоначально под парсингом подразумевался процесс поиска определенной информации в большом фрагменте текста, а так же разбиение данных на смысловые части.

Примеры использования парсеров

Парсеры и грабберы используются в следующих случаях:

  • Поддержание информации в актуальном состоянии. Применимо в таких областях, где информация быстро теряет актуальность и уже неприменима спустя буквально несколько минут. В таких случаях ручное ее редактирование практически невозможно или требует колоссальных затрат человеческих ресурсов. Например, для отображения курса валют или погоды.
  • Полное или частичное копирование материалов сайта с последующим размещением этих материалов на своих ресурсах. Например, для использования на сателлитах. При этом текст может быть предварительно пропущен через синонимайзер или обработан рерайтером для повышения уникальности. Очень часто парсингу подвергаются сайты с отзывами о кино и книгах, а так же сайты с рецептами, текстами песен и стихов.
  • Объединение потоков информации из разных источников в одном месте и ее постоянное обновление. Например, существуют агрегаторы, которые собирают все предложения с сайтов по фрилансу в одном месте. Они позволяют моментально отслеживать все предложения и быть одним из первых откликнувшихся на предложение работодателя. Агрегирование новостных потоков из нескольких источников и так далее.

Как работают парсеры (грабберы)

Они могут писаться на любом языке программирования, где есть поддержка регулярных выражений. Например, на PHP. Кстати, я начал серию уроков по PHP для начинающих, можете ознакомиться хотя бы в общих чертах. Это полезно. Лично я предпочитаю работать с C#, т.к. привык к нему еще с университета.Сердцем любого парсера является регулярное выражение. Если коротко, то оно представляет собой набор метасимволов, которые служат своего рода маской для поиска информации.Примеры регулярных выражений вы можете сами найти в интернете, т.к. их синтаксис зависит от конкретного языка программирования.

Теперь вы знаете что такое парсет и граббер и сможете рассказать об этом друзьям при необходимости ;)

myblaze.ru

парсер windows приложений

Microsoft Windows [Версия 6.0.6001](C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Администратор>lsnrctl status

LSNRCTL for 32-bit Windows: Version 10.2.0.4.0 - Production on 06-JUL-2015 18:34:30

Copyright (c) 1991, 2007, Oracle. All rights reserved.

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=VLADIMIR-SP)(PORT=1521)))STATUS of the LISTENER------------------------Alias LISTENERVersion TNSLSNR for 32-bit Windows: Version 10.2.0.4.0 - ProductionStart Date 29-MAY-2015 08:33:56Uptime 38 days 10 hr. 0 min. 36 secTrace Level offSecurity ON: Local OS AuthenticationSNMP OFFListener Parameter File C:\oracle\product\10.2.0\db_1\network\admin\listener.oraListener Log File C:\oracle\product\10.2.0\db_1\network\log\listener.log

Listening Endpoints Summary...(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=VLADIMIR-SP)(PORT=1521)))Services Summary...Service "ORCLvladimirXDB" has 1 instance(s).Instance "orclvladimir", status READY, has 1 handler(s) for this service...Service "ORCLvladimir_XPT" has 1 instance(s).Instance "orclvladimir", status READY, has 1 handler(s) for this service...Service "PLSExtProc" has 1 instance(s).Instance "PLSExtProc", status UNKNOWN, has 1 handler(s) for this service...Service "app_pd" has 1 instance(s).Instance "apppd", status READY, has 1 handler(s) for this service...Service "app_pd_XPT" has 1 instance(s).Instance "apppd", status READY, has 1 handler(s) for this service...Service "app_upe" has 1 instance(s).Instance "appupe", status READY, has 1 handler(s) for this service...Service "app_upe_XPT" has 1 instance(s).Instance "appupe", status READY, has 1 handler(s) for this service...Service "apppdXDB" has 1 instance(s).Instance "apppd", status READY, has 1 handler(s) for this service...Service "appupeXDB" has 1 instance(s).Instance "appupe", status READY, has 1 handler(s) for this service...Service "orcl" has 1 instance(s).Instance "orcl", status UNKNOWN, has 1 handler(s) for this service...Service "orclvladimir" has 1 instance(s).Instance "orclvladimir", status READY, has 1 handler(s) for this service...Service "pd" has 1 instance(s).Instance "pd", status UNKNOWN, has 1 handler(s) for this service...Service "pkod_pd" has 2 instance(s).Instance "pkod_pd", status UNKNOWN, has 1 handler(s) for this service...Instance "pkodpd", status READY, has 1 handler(s) for this service...Service "pkod_pd_XPT" has 1 instance(s).Instance "pkodpd", status READY, has 1 handler(s) for this service...Service "pkod_upe" has 2 instance(s).Instance "pkodupe", status UNKNOWN, has 1 handler(s) for this service...Instance "pkodupe", status READY, has 1 handler(s) for this service...Service "pkod_upe_XPT" has 1 instance(s).Instance "pkodupe", status READY, has 1 handler(s) for this service...Service "pkodpdXDB" has 1 instance(s).Instance "pkodpd", status READY, has 1 handler(s) for this service...Service "pkodupeXDB" has 1 instance(s).Instance "pkodupe", status READY, has 1 handler(s) for this service...Service "prognoz_old" has 1 instance(s).Instance "prognozold", status READY, has 1 handler(s) for this service...Service "prognoz_old_XPT" has 1 instance(s).Instance "prognozold", status READY, has 1 handler(s) for this service...Service "prognozoldXDB" has 1 instance(s).Instance "prognozold", status READY, has 1 handler(s) for this service...Service "upe" has 2 instance(s).Instance "upe", status UNKNOWN, has 1 handler(s) for this service...Instance "upe", status READY, has 1 handler(s) for this service...Service "upeXDB" has 1 instance(s).Instance "upe", status READY, has 1 handler(s) for this service...Service "upe_XPT" has 1 instance(s).Instance "upe", status READY, has 1 handler(s) for this service...The command completed successfully

C:\Users\Администратор>

forundex.ru

Парсеры - программы для сбора информации

парсер информацииПарсер – это программа для автоматизации процесса парсинга, то есть обработки информации по определенному алгоритму. В этой статье я приведу несколько примеров программ-парсеров и в двух словах опишу их назначение и основные функции.

Как мы уже определились, парсинг – это процесс синтаксического и лексического анализа, разбора и преобразования какого-либо документа или выбора из этого документа, интересующих нас данных. Это могут быть и трансляторы языков программирования, переводчики с одного языка на другой. Я думаю, что интерпретаторы скриптов тоже используют алгоритмы парсинга.Но поскольку парсеры нас интересуют применительно к интернету и его приложениям, то мы вернемся к описанию использования парсеров для этой тематики. Выделю два наиболее популярных вида парсинга в интернете:

— парсинг контента— парсинг результатов выдачи поисковых систем

Некоторые программы совмещают эти функции, плюс обрастают дополнительными функциями и возможностями.Итак приступим

Универсальный парсер Datacol

Парсер Datacol представляет собой универсальный инструмент для сбора информации в интернете. Текущая версия программы — Datacol5.

На настоящий момент этот парсер является несомненным лидеров в Рунете по своим возможностям и функционалу.

Этот инструмент позволяет собирать в интернете данные следующего типа:

  • Результаты поисковой выдачи
  • Сбор контента с заданных сайтов
  • Сбор внутренних и внешних ссылок для интернет сайта
  • Сбор графической информации, аудио контента, видео материалов
  • Парсинг СЕО показателей сайтов с различных сервисов
  • И много много самой различной информации с различных интернет ресурсов

Вся полученная информация сохраняется в удобном для пользователя виде для дальнейшего анализа и использования.

Более подробное описание парсера Datacol5 находится на этой странице — web-data-extractor.net.

Программа Content Downloader

Представляет собой универсальную программу. Обладает очень широким функционалом и представляет собой целый набор парсинг-функций, вот перечень основных из них:

  • Парсер товаров
  • Парсер интернет-магазинов
  • Парсер картинок
  • Парсер видио
  • RSS парсер
  • Парсер ссылок
  • Парсер новостей

И это еще неполный перечень всех функций. Программа платная, продается несколько вариантов, в зависимости от функционала колеблется и стоимость. Подробнее ознакомиться можно здесь.

Парсер контента X-Parser

Основные функции программы также состоят их нескольких программных блоков.

  • Парсер вылачи любых поисковых систем по ключевым запросам
  • Парсер контента с любого сайта
  • Парсер контента по ключевым запросам из выдачи любой поисковой системы
  • Парсер контента по списку URLов
  • Парсер внутренних ссылок
  • Парсер внешних ссылок

Довольно многофункциональная программа, более подродно узнать всю информацию, вплоть до цены можно перейдя по ссылке.

Программа WebParser

Парсер WebParser представляет собой универсальную программу. основная функция которой — парсинг поисковых систем. Работает с ПС Google, Яндексом, Рамблером, Yahoo и некоторыми другими. анализирует движки (CMS) сайтов. Совместима со всеми версиями Windows, начиная с W2000. Болле полную информацию можно получить здесь.

Плагин WP Uniparser

Не забудем и плагин для WordPress WP Uniparser. О нем можно больше узнать, пройдя по этой ссылке.

Парсер «Магадан»

Парсер ключевых слов c романтическим названием «Магадан» создан именно для целевой обработки ключевых слов Яндекс.Директа. Полезен при составлении семантического ядра, подготовке рекламных компаний и для сбора и анализа информации.

В завершение стоит упомянуть о языке программирования для создания сайтов Parser, созданного на студии Артемия Лебедева и служащего для разработки сайтов. Этот язык будет несколько посложнее, чем обыкновенный HTML, но не требующий такой основательной подготовки, как, например, язык PHP.

Полезные Материалы:

inetmkt.ru

MSXML 4.0 SP3 Parser что это за программа и нужна ли она?

Всем привет hi Значит смотрю я какие у меня есть программы и вижу тут такое как MSXML 4.0 SP3 Parser и вот думаю, что это такое, для чего вообще нужно… Короче начал копать и искать инфу о том что это такое. В общем инфы мало, на Википедии нашел, что мол это набор служб, которые позволяют прогам на языках JScript, VBScript строить приложения для винды, которые основаны на языке разметки XML. Нет, ну нельзя сказать что написано бредово. Однако блин, ну ничего не понятно, закручено так, что не разберешь вообще! negative

Как я понял, проблема еще в том, что у многих юзеров этого добра MSXML 4.0 SP3 Parser несколько штук и юзеров такое количество напрягает. Вот и тут стает вопрос, а не удалить ли это часом все вместе, но блин, иди знай что это за дичь.

Вот уже стало немного яснее, как я понимаю, что MSXML 4.0 SP3 Parser это такой компонент, который необходим для разбора кода XML. Начиная с третьей версии появилось даже новое название Microsoft® XML Core Services, которое говорит только том, что компонент становится все круче и могучее. Почитавши еще инфы, я вроде бы понял, что MSXML 4.0 SP3 Parser нужен в первую очередь для браузера Internet Explorer и возможно для программ, которые используют обьект этого браузера.

Так что это виндовские компоненты, например вот еще есть Microsoft Web Deploy, ну и остальные, все они появляются после установки каких-то тяжелых прог типа Microsoft Office. Но при этом, если потом эти тяжелые проги удалить, то эти дополнительные компоненты останутся все равно!

Вот у меня в списке установленного софта вот что еще есть от Microsoft:

И к сожалению это только часть.. sad

Все эти компоненты как и MSXML 4.0 SP3 Parser нужны для работы многих программ от Microsoft, поэтому если у вас есть Офис ну или еще какой-то большой софт от Microsoft, то я бы не стал удалять MSXML. Если у вас стоит также много игр, тоже не стоит удалять, ибо с играми ставится и другие виндовские компоненты, ну типа какие-то там пакеты Microsoft Visual C++ или подобное.

Да, я еще раз покопался в интернете, на администраторских форумах и все правильно, вот как я думал, так оно и есть. MSXML 4.0 SP3 Parser это компонент, который необходим для работы некоторых программ, но для каких именно, это конечно непонятно. Даже скажу больше, встречается такая проблема, что если вы удалите MSXML 4.0 SP3 Parser, а потом снова поставите, то это уже не решит проблему, которая возможно что появится после удаления MSXML 4.0 SP3 Parser. Ну, я надеюсь что вы поняли.

Тут выход только один, это создать сначала точку восстановления, и потом уже экспериментировать с удалением этого MSXML.

Вот я сам сейчас так сделаю и вам покажу. А потом удалю MSXML 4.0 SP3 Parser. Поверьте мне, это самый безопасный и главное умный способ good

Итак, создаем точку восстановления, нажимаем Пуск, выбираем Панель управления:

Потом выбираем там значок Система:

Потом нажимаете там Защита системы:

В следующем окне нажимаете кнопку Создать:

Убедитесь, что у вас выбран именно системный диск, там где Параметры защиты. У меня то тут один диск, он же и системный, а у вас может быть несколько. Это важно!

Дальше называете точку восстановления, вот я ее так и назвал — До удаления MSXML 4.0 SP3 Parser:

Начнется создание точки, может занять некоторое время, но у меня процесс длился около минуты. Потом было такое сообщение:

Все, точку мы создали, отлично. Теперь можем удалить уже этот MSXML 4.0 SP3 Parser и если что, то у нас есть точка восстановления, мы всегда сможет вернуться в прошлое. Для удаления открываем снова меню Пуск, выбираем там Панель управления, а потом уже находим значок Программы и компоненты, открываем его (туда еще можно попасть, если зажать Win + R и написать туда команду control panel):

В списке установленного софта нажимаем правой кнопкой по MSXML 4.0 SP3 Parser и выбираем Удалить:

Дальше будет такое сообщение, тут нажимаете Да:

Ну и начнется процесс удаления:

Все удалится достаточно быстро, не будет даже никаких там окошек и всего такого. Потом я сделал перезагрузку и проверил, все ли нормально работает. Правда у меня нет ни Microsoft Office ни каких-то других крупных программ. Но тем не менее как работало все, так и работает, я имею ввиду браузеры, там аудиоплеер, ну и сама винда нормально фурычит. Глюков нет. Но это у меня, а у вас они могут быть, но вы то помните, что мы создали точку восстановления!

Так что если что, вы сможете все вернуть обратно, все как было smile

Ну что готовы? Я сейчас покажу как восстановить винду до того момента, когда еще НЕ БЫЛ удален MSXML 4.0 SP3 Parser! Это нужно делать тогда, когда у вас перестала работать какая-то программа или же появились какие-то непонятные глюки и вы думаете что это связано с удалением этого MSXML!

Итак, снова нажимаем меню Пуск, снова выбираем Панель управления и запускаем там значок Система. Потом также выбираем там Защита системы, но уже нажимаем кнопку не Создать, а Восстановление:

Напомню, что если у вас несколько дисков, то убедитесь что выбран именно системный диск, там где Параметры защиты, это важно!

Потом выбираем второй пункт и нажимам Далее:

И вот тут выбираем ту точку восстановления, которую мы сами создавали:

Нажимам Далее, потом нажимаем Готово:

В следующем сообщении нажимаем Да:

Все, поехало восстанавливаться:

Нужно будет совсем немного подождать:

И все, потом будет перезагрузка, после которой появится вот такое сообщение, что восстановление прошло нормально:

Теперь я открыл меню Пуск, там выбрал Панель управления, потом запустил значок Программы и компоненты, и в списке софта опять есть MSXML 4.0 SP3 Parser:

То есть как видите, MSXML 4.0 SP3 Parser стоит на месте! И даже если у вас их было несколько и вы их всех удалили, то сможете восстановить все обратно, если конечно создали точку восстановления smile

Вот так вот просто можно обезопасить себя от каких-то проблем и глюков, которые могут возникнуть при удалении того или иного системного компонента, который возможно нужен винде или софту, а возможно что и не нужен вовсе. Вот как понять нужен или нет — неизвестно, а при помощи точки восстановления, можно себя застраховать на всякий случай… good

Ну что, на этом все, я извиняюсь что статья получилась большой. Но надеюсь, что все таки данная инфа была вам полезной, удачи вам и хорошего настроения victory

На главную! неизвестные программы 05.08.2016

virtmachine.ru

Запуск парсера по расписанию | Инструкция по программе Parser

Есть возможность настроить автоматический запуск парсера в заданное время.Для запуска парсера по расписанию используется Планировщик заданий Windows

Порядок действий для настройки запуска парсера по расписанию:

  1. настраиваем парсер (предположим, он называется Мой парсер) 
  2. убеждаемся, что парсер запускается в «пустом» Excel (когда не открыт ни один файл)Для этого, закрываем Excel, открываем Excel снова, убеждаемся, что ни один файл в Excel не открыт.После этого, запускаем программу-парсер (если она автоматически не запустилась), и запускаем наш парсер, — парсер должен начать выводить данные (подразумевается, что при запуске парсера автоматически создаётся новая книга Excel, куда выводятся данные, или же в парсере настроено открытие существующего файла Excel с диска) 
  3. скачиваем прикреплённый к статье файлВ этом файле присутствует макрос для запуска парсераПосле скачивания, файл нужно разблокировать, для этого нужно:
    • найти скачанный файл в папке (обычно это папка «Загрузки»)
    • щелкнуть правой кнопкой мыши на файле — Свойства — Разблокировать (Unblock) — ОК 
  4. переименовываем скачанный файл, назвав его в точности так, как называется парсер, который нужно запускатьв нашем случае, файл будет называться Мой парсер.xls

    Файл можно поместить в любую папку 

  5. пробуем запустить этот файл Excel Листы файла скрыты (как у надстройки .xla), а при запуске появляется окно с обратным отсчётом времени:

    Внимание: никаких предупреждений Excel не должно появляться при запуске этого файлаДолжно появляться только окно, показанное на скриншоте вышеЭтот файл автоматически закрывает сам себя после запуска парсера или отмены запуска (красная кнопка) 

  6. Убеждаемся, что при ручном запуске этого файла Excel парсер стартует, и всё работает как надо.Дожидаться окончания работы парсера не обязательно. 
  7. открываем Планировщик заданий Windows Для этого переходим в Панель управления — Администрирование — Планировщик заданий 
  8. создаём в планировщике новую задачу
    • в списке действий Планировщика нажимаем Создать простую задачу 
    • вводим произвольное имя задачи (например, Запуск моего парсера)
    • выбираем частоту запуска (например, ежедневно)
    • выбираем действие для задачи «Запустить программу» 
    • на следующем шаге нам предложат выбрать программу или сценарий, — выбираем созданный ранее файл Мой парсер.xls 
    • нажимаем кнопки Далее и Готово

 

На этом настройка завершена.В указанное в планировщике время будет запущен файл Мой парсер.xls, в результате чего запустится Excel (если он ранее не был запущен), запустится надстройка «Парсер сайтов» (если она не запускается автоматически вместе с Excel), и будет дана команда запуска парсера с названием Мой парсер (название парсера берется из имени файла Excel)

ВложениеРазмерЗагрузкиПоследняя загрузка
run_parser.xls44.5 КБ0Ещё не загружался

excelvba.ru

Сбор и фильтрация событий входа в систему с помощью Log Parser

Здравствуйте, уважаемое сообщество!
ИТ-инфраструктура всегда находится в динамике. Тысячи изменений происходят ежеминутно. Многие из них требуется регистрировать. Аудит систем является неотъемлемой частью информационной безопасности организаций. Контроль изменений позволяет предотвратить серьезные происшествия в дальнейшем.

В статье я хочу рассказать о своем опыте отслеживания событий входа (и выхода) пользователей на серверах организации, подробно описать те детали, которые возникли в ходе выполнения задачи анализа логов аудита, а также привести решение этой задачи по шагам.

Цели, которые мы преследуем:
  • Контроль ежедневных подключений пользователей к серверам организации, в том числе терминальным.
  • Регистрация события, как от доменных пользователей, так и от локальных.
  • Мониторинг рабочей активности пользователя (приход/уход).
  • Контроль подключений ИТ-подразделений к серверам ИБ.
Для начала необходимо включить аудит и записывать события входа в журнал Windows. В качестве контроллера домена нам предоставлен Windows Server 2008 R2. Включив аудит, потребуется извлекать, фильтровать и анализировать события, определенные политикой аудита. Кроме того, предполагается отправка в третью систему на анализ, например, в DLP. В качестве альтернативы предусмотрим возможность формирования отчета в Excel.

Анализ логов является рутинной операцией системного администратора. В данном случае объёмы фиксируемых событий в домене таковы, что это само по себе сложно. Аудит включается в групповой политике.

События входа в систему формируются:

1. контроллерами домена, в процессе проверки учетных записей домена; 2. локальными компьютерами при работе с локальными учетными записями.

Если включены обе категории политик (учетных записей и аудита), то входы в систему, использующие учетную запись домена, будут формировать события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Таким образом, аудит на доменные машины потребуется настроить через оснастку GPO на контроллере, аудит локальный — через локальную политику безопасности с помощью оснастки MMC.

Настройка аудита и подготовка инфраструктуры:
Рассмотрим этот этап подробно. Для уменьшения объемов информации мы смотрим только успешные события входа и выхода. Имеет смысл увеличить размер журнала security Windows. По умолчанию — это 128 Мегабайт.

Для настройки локальной политики:

Открываем редактор политик – Пуск, в строке поиска пишем gpedit.msc и нажимаем Ввод. Открываем следующий путь: Local Computer Policy → Computer Configuration → Windows Settings → Security Settings → Local Policies → Audit Policy.

Дважды кликаем параметр групповой политики Audit logon events (аудит входа в систему) и Audit account logon events (аудит событий входа в систему). В окне свойств устанавливаем Success-чекбокс для записи в журнал успешных входов в систему. Чекбокс Failure устанавливать не рекомендую во избежание переполнения. Для применения политики необходимо набрать в консоли gpupdate /force

Для настройки групповой политики:

Создаем новый объект GPO (групповую политику) с именем «Audit AD». Переходим в раздел редактирования и разворачиваем ветку Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Configuration. В данной ветке групповых политик находятся расширенные политики аудита, которые можно активировать в ОС семейства Windows для отслеживания различных событий. В Windows 7 и Windows Server 2008 R2 количество событий, для которых можно осуществлять аудит увеличено до 53. Эти 53 политики аудита (т.н. гранулярные политики аудита) находятся в ветке Security Settings\Advanced Audit Policy

Configuration и сгруппированы в десяти категориях:

Включаем:

  • Account Logon – аудит проверки учетных данных, службы проверки подлинности Kerberos, операций с билетами Kerberos и других события входа;
  • Logon/Logoff – аудит интерактивных и сетевых попыток входа на компьютеры и сервера домена, а также блокировок учетных записей.
После изменений выполняем gpupdate /force.

Сразу оговорим типы событий, которые будет анализировать наш будущий скрипт:

  1. Remote access — удаленный вход через RDP-сессию.
  2. Interactive — локальный вход пользователя с консоли.
  3. Computer unlocked — разблокировка заблокированной станции.
  4. Logoff — выход из системы.
В Windows 2008 событие успешного входа имеет идентификатор Event ID 4624, а logoff — Event ID 4672. Необходимо выбрать инструмент, позволяющий проанализировать огромное количество записей. Казалось бы, все можно написать, используя штатные инструменты. Однако, запросы на Powershell видаget-eventlog security | where {$_.EventId -eq 4624 -and ($_.TimeGenerated.TimeOfDay -gt '08:00:00' )} хорошо себя показывают только на стенде с контроллером домена на два пользователя. В продакшене средах сбор логов с сервера занимал по 20 минут. Поиски решения привели к утилите LOG PARSER , ранее обзорно рассмотренной на Хабре.

Скорость обработки данных возросла в разы, полный прогон с формированием отчета с одного ПК сократился до 10 секунд. Утилита использует немало опций командной строки, поэтому мы будем вызывать cmd из powershell, чтобы избавиться от экранирования кучи специальных символов. Для написания запросов можно воспользоваться GUI — Log Parser Lizard. Он не бесплатен, но триального периода в 65 дней хватает. Ниже привожу сам запрос. Помимо интересующих нас, распишем и другие варианты входа в систему, на случай дальнейшего использования.

SELECT eventid, timegenerated, extract_token(Strings, 5, '|' ) as LogonName, extract_token(Strings, 18, '|' ) as LogonIP, case extract_token(Strings, 8, '|' ) WHEN '2' THEN 'interactive' WHEN '3' THEN 'network' WHEN '4' THEN 'batch' WHEN '5' THEN 'service' WHEN '7' THEN 'unlocked workstation' WHEN '8' THEN 'network logon using a cleartext password' WHEN '9' THEN 'impersonated logons' WHEN '10' THEN 'remote access' ELSE extract_token(Strings, 8, '|' ) end as LogonType, case extract_token(Strings, 1, '|' ) WHEN 'SERVER$' THEN 'logon' ELSE extract_token(Strings, 1, '|' ) end as Type INTO \\127.0.0.1\c$\AUDIT\new\report(127.0.0.1).csv FROM \\127.0.0.1\Security WHERE (EventID IN (4624) AND extract_token(Strings, 8, '|' ) LIKE '10') OR (EventID IN (4624) AND extract_token(Strings, 8, '|' ) LIKE '2') OR (EventID IN (4624) AND extract_token(Strings, 8, '|' ) LIKE '7') OR EventID IN (4647) AND TO_DATE( TimeGenerated ) = TO_LOCALTIME( SYSTEM_DATE() ) ORDER BY Timegenerated DESC Далее привожу общее описание логики:
  1. Вручную формируем список хостов с настроенным локально аудитом, либо указываем контроллер домена, с которого забираем логи.
  2. Скрипт обходит список имен хостов в цикле, подключается к каждому из них, запускает службу Remote registry и, с помощью парсера, выполняет SQL-запрос audit.sql для сбора логов безопасности системы. Запрос модифицируется для каждого нового хоста с помощью примитивного регулярного выражения при каждой итерации. Полученные данные сохраняются в csv-файлах.
  3. Из файлов CSV формируется отчет в файле Excel (для красоты и удобства поиска) и тело письма в формате HTML.
  4. Создается почтовое сообщение отдельно по каждому файлу отчета и отправляется в третью систему.
Готовим площадку для теста скрипта:
Для корректной работы скрипта необходимо выполнение следующих условий: Создаем каталог на сервере/рабочей станции, с которой выполняется скрипт. Размещаем файлы скрипта в каталог С:\audit\. Список хостов и скрипт лежат в одном каталоге.

Устанавливаем дополнительное ПО на сервер MS Log Parser 2.2 и Windows powershell 3.0 в составе management framework. Проверить версию Powershell можно, набрав $Host.version в консоли PS.

Заполняем список интересующих нас серверов list.txt для аудита в каталоге С:\audit\ по именам рабочих станций. Настраиваем политику Аудита. Убеждаемся, что она работает.

Проверяем, запущена ли служба удаленного реестра (скрипт делает попытку запуска и перевода службы в автоматический режим при наличии соответствующих прав). На серверах 2008/2012 эта служба запущена по умолчанию.

Проверяем наличие прав администратора для подключения к системе и сбора логов. Проверяем возможность запуска неподписанных скриптов powershell на удаленной машине (подписать скрипт или обойти/отключить restriction policy).

Внимание на параметры запуска неподписанных скриптов — execution policy на сервере: Обойти запрет можно подписав скрипт, либо отключить саму политику при запуске. Например:

powershell.exe -executionpolicy bypass -file С:\audit\new\run_v5.ps1 Привожу весь листинг скрипта:Get-ChildItem -Filter report*|Remove-Item -Force $date= get-date -uformat %Y-%m-%d cd 'C:\Program Files (x86)\Log Parser 2.2\' $datadir="C:\AUDIT\new\" $datafile=$datadir+"audit.sql" $list=gc $datadir\"list.txt" $data=gc $datafile $command="LogParser.exe -i:EVT -o:CSV file:\\127.0.0.1\c$\audit\new\audit.sql" $MLdir= [System.IO.Path]::GetDirectoryName($datadir) function send_email { $mailmessage = New-Object system.net.mail.mailmessage $mailmessage.from = ($emailfrom) $mailmessage.To.add($emailto) $mailmessage.Subject = $emailsubject $mailmessage.Body = $emailbody $attachment = New-Object System.Net.Mail.Attachment($emailattachment, 'text/plain') $mailmessage.Attachments.Add($attachment) #$SMTPClient.EnableSsl = $true $mailmessage.IsBodyHTML = $true $SMTPClient = New-Object Net.Mail.SmtpClient($SmtpServer, 25) #$SMTPClient.Credentials = New-Object System.Net.NetworkCredential("$SMTPAuthUsername", "$SMTPAuthPassword") $SMTPClient.Send($mailmessage) } foreach ($SERVER in $list) { Get-Service -Name RemoteRegistry -ComputerName $SERVER | set-service -startuptype auto Get-Service -Name RemoteRegistry -ComputerName $SERVER | Start-service $pattern="FROM"+" "+"\\$SERVER"+"\Security" $pattern2="report"+"("+$SERVER+")"+"."+"csv" $data -replace "FROM\s+\\\\.+", "$pattern" -replace "report.+", "$pattern2"|set-content $datafile <# #IF WE USE IP LIST $data -replace "FROM\s+\\\\([0-9]{1,3}[\.]){3}[0-9]{1,3}", "$pattern" -replace "report.+", "$pattern2"|set-content $datafile #> cmd /c $command } cd $datadir foreach ($file in Get-ChildItem $datadir -Filter report*) { #creating excel doc# $excel = new-object -comobject excel.application $excel.visible = $false $workbook = $excel.workbooks.add() $workbook.workSheets.item(3).delete() $workbook.WorkSheets.item(2).delete() $workbook.WorkSheets.item(1).Name = "Audit" $sheet = $workbook.WorkSheets.Item("Audit") $x = 2 $colorIndex = "microsoft.office.interop.excel.xlColorIndex" -as [type] $borderWeight = "microsoft.office.interop.excel.xlBorderWeight" -as [type] $chartType = "microsoft.office.interop.excel.xlChartType" -as [type] For($b = 1 ; $b -le 5 ; $b++) { $sheet.cells.item(1,$b).font.bold = $true $sheet.cells.item(1,$b).borders.ColorIndex = $colorIndex::xlColorIndexAutomatic $sheet.cells.item(1,$b).borders.weight = $borderWeight::xlMedium } $sheet.cells.item(1,1) = "EventID" $sheet.cells.item(1,2) = "TimeGenerated" $sheet.cells.item(1,3) = "LogonName" $sheet.cells.item(1,4) = "LogonIP" $sheet.cells.item(1,5) = "LogonType" $sheet.cells.item(1,6) = "Type" Foreach ($row in $data=Import-Csv $file -Delimiter ',' -Header EventID, TimeGenerated, LogonName, LogonIP, LogonType, Tipe) { $sheet.cells.item($x,1) = $row.EventID $sheet.cells.item($x,2) = $row.TimeGenerated $sheet.cells.item($x,3) = $row.LogonName $sheet.cells.item($x,4) = $row.LogonIP $sheet.cells.item($x,5) = $row.LogonType $sheet.cells.item($x,6) = $row.Tipe $x++ } $range = $sheet.usedRange $range.EntireColumn.AutoFit() | Out-Null $Excel.ActiveWorkbook.SaveAs($MLdir +'\'+'Audit'+ $file.basename.trim("report")+ $date +'.xlsx') if($workbook -ne $null) { $sheet = $null $range = $null $workbook.Close($false) } if($excel -ne $null) { $excel.Quit() $excel = $null [GC]::Collect() [GC]::WaitForPendingFinalizers() } $emailbody= import-csv $file|ConvertTo-Html $EmailFrom = "[email protected]" $EmailTo = foreach ($a in (Import-Csv -Path $file).logonname){$a+"@"+"tst.com"} $EmailSubject = "LOGON" $SMTPServer = "10.60.34.131" #$SMTPAuthUsername = "username" #$SMTPAuthPassword = "password" $emailattachment = "$datadir"+"$file" #$$filexls send_email } Для полноценных отчетов в Excel устанавливаем Excel на станцию/сервер, с которой работает скрипт.

Добавляем скрипт в планировщик Windows на ежедневное выполнение. Оптимальное время —конец дня — поиск событий проводится за последние сутки.

Поиск событий возможен, начиная с систем Windows 7, Windows server 2008. Более ранние Windows имеют другие коды событий (значение кода меньше на 4096).

Примечания и заключение:
Еще раз подытожим выполненные действия:
  1. Настроили локальные и доменные политики аудита на нужных серверах и собрали список серверов.
  2. Выбрали машину для выполнения скрипта, установили нужный софт (PS 3.0, LOG PARSER, Excel).
  3. Написали запрос для LOG PARSER.
  4. Написали скрипт, запускающий этот запрос в цикле для списка,.
  5. Написали оставшуюся часть скрипта, обрабатывающую полученные результаты.
  6. Настроили планировщик для ежедневного запуска.
Сгенерированные ранее отчеты лежат в каталоге до следующего выполнения скрипта. Список пользователей, выполнивших подключение, автоматически добавляется в получатели письма. Cделано это для корректной обработки при отправке отчета в систему анализа. В целом, благодаря LOG PARSER, получилось достаточно мощное, и, возможно, единственное средство автоматизации этой задачи. Удивительно, что такая полезная утилита с обширными возможностями не широко распространена. В минусы утилиты можно отнести слабую документацию. Запросы выполняются методом проб и ошибок. Желаю удачных экспериментов!

habr.com