Отслеживание того, кто установил или удалил программу или приложение

Если вы управляете системой, которая используется несколькими людьми, каждый из которых имеет собственный вход в систему, вам может быть полезно узнать, кто из этих пользователей установил программу или приложение. Например, пользователь мог загрузить и установить программу, которая вызывает проблемы, и вам нужно поговорить с пользователем, который на самом деле выполнил установку. Точно так же вам может потребоваться знать, кто удалил конкретную программу из системы.

При условии, что программа была установлена ​​или удалена с помощью обычного установщика MSI, встроенного в Windows, вы можете узнать необходимую информацию путем изучения журналов событий, поддерживаемых Windows. Идите вперед и запустите средство просмотра событий; Самый простой способ – использовать возможности поиска Windows, ища «Средство просмотра событий» без кавычек. После запуска программы (загрузка может занять некоторое время) вы увидите начальный экран. (См. Рис. 1.)

Рис. 1. Начальное окно средства просмотра событий.

На правой панели в верхней части щелкните параметр «Создать настраиваемый вид». Windows отображает диалоговое окно «Создать настраиваемый вид». В диалоговом окне должна появиться вкладка «Фильтр». (См. Рис. 2.)

Рисунок 2. Фильтрация журнала событий.

В раскрывающемся списке Источники событий (щелкните переключатель справа от По источнику, чтобы активировать Источники событий) выберите MsiInstaller вариант и нажмите кнопку ОК. Windows отображает диалоговое окно «Сохранить фильтр в пользовательском представлении». (См. Рис. 3.)

Рис. 3. Диалоговое окно «Сохранить фильтр в настраиваемом представлении».

Назовите настраиваемое представление по своему усмотрению, выберите место для сохранения настраиваемого представления и нажмите OK. Это указывает средству просмотра событий отображать только события, созданные установщиком, что и происходит, когда вы нажимаете кнопку OK.

В полученном наборе отфильтрованных событий найдите событие, которое было зарегистрировано в журнале. примерно в то время, когда вы считаете, что установка или удаление произошли. Когда вы найдете тот, который выглядит многообещающим, вы можете выбрать его и просмотреть подробные сведения в средстве просмотра. Среди этих деталей – имя учетной записи пользователя, которая была активна на момент установки или удаления.

Следует отметить, что этот подход будет работать только в том случае, если пользователи системы используют только свои собственные учетные записи – в других случаях. словами, пользователи выходят из системы и входят в систему, как должны. Если все используют общий логин, информация о пользователе в журнале событий не будет иметь большого значения. (Он сообщит вам, что произошло событие, но вы не укажете, кто его выполнил.)

Кроме того, если установленная или удаленная программа не использовала MsiInstaller или использовала метод, который не использует журналы событий, то вы не сможете найти события, выполнив следующие действия.

Оцените статью
Frestage.ru
Добавить комментарий