Registro de Sesiones

Estado
Cerrado para nuevas respuestas

andylon

Nuevo Miembro
Miembro
#1
Hola a todos, por favor necesito ayuda con lo siguiente: quiero saber si existe algún archivo que lleve el registro histórico o bitácora de cada inicio y cierre de sesiones en windows.

Agradezco mucho la ayuda.
 

Arielpy

Nuevo Miembro
Miembro
#3
:rolleyes: Dentro de Windows creo que no, salvo los registros de errores, por lo general se usan software aparte para monitorear todo la actividad de la PC, pero eso seria ya espiar
 

andylon

Nuevo Miembro
Miembro
#4
Aún cuando quiero controlar si prenden y usan mi equipo en mi ausencia?

En donde puedo ubicar esos software.
 

elranix

Super Moderador
Super Moderador
#5
Recogida de archivos Log del sistema

Los ficheros Log de una máquina, sea la que sea, son una fuente de información importantísima en un análisis forense. Empezaremos con estos ficheros. Los sistemas Windows basados en NT tienen su principal fuente de Log en los archivos de sistema siguientes:

SysEvent.Evt. Registra los sucesos relativos al sistema

SecEvent.Evt. Registra los sucesos relativos a la seguridad

AppEvent.Evt. Registra los sucesos relativos a aplicaciones

Estos ficheros se encuentran en el directorio %systemroot%\system32\config. Si están auditadas las opciones de inicio de sesión, cambio de directivas y permisos, nos centraremos con especial atención en el archivo Log SecEvent.Evt. Para visualizar este fichero podremos utilizar la herramienta de Windows eventvwr.msc, comúnmente llamada Visor de Sucesos. Abriremos con esta herramienta el archivo SecEvent.Evt, que es el encargado de almacenar los sucesos relativos a la seguridad, tales como ingresos en la máquina, cambio de directivas, etc... Por ejemplo, podríamos buscar todo acceso físico a la máquina, cambio de directivas y creación de cuentas de usuario. Eso nos podría dar una idea de quién toca el sistema.

Por ejemplo, el evento 624 es el referido por Windows para un suceso de creación de cuenta de usuario. En la siguiente imagen podréis ver como lo registra Windows:
el relativo al inicio de sesión. Windows almacena este suceso con el identificador 528.
Echale un vistazo, saludos.
 

elranix

Super Moderador
Super Moderador
#6
Si normalmente apagas el PC, también pudes revisar el tiempo de funcionamiento del sistema con el comando: systeminfo desde la consola de comandos.

Saludos
 

andylon

Nuevo Miembro
Miembro
#7
Si normalmente apagas el PC, también pudes revisar el tiempo de funcionamiento del sistema con el comando: systeminfo desde la consola de comandos.

Saludos
ya revisé el systeminfo pero no encontré exactamente el registro y con respecto al visor de sucesos, algo estoy haciendo mal porque al intentar abrirl el archivo SecEvent.Evt me saca este error: "No se puede completar la operación en Se ha guardado registro de seguridad. El proceso no tiene acceso al archivo porque esta siendo usado por otro proceso."
 

andylon

Nuevo Miembro
Miembro
#10
y cual es la necesidad de saber si ocupan tu pc en tu ausencia ?
No entiendo en que influyen mis necesidades para obtener una respuesta, pero ahi las tiene Slack_@

1 En el hogar: controlar y disciplinar a mi hija.

2 En la oficina: tener argumentos contundentes (pruebas) para demostrar unas inconsistencias con los horarios de trabajo.
 

andylon

Nuevo Miembro
Miembro
#11
Nuevamente estoy solictandoles ayuda con esto.

El tema está pasando de importante a urgente, les agradezco mucho su colaboración.
 

slack_

Nuevo Miembro
Miembro
#12
las necesidades las pido para saber como orientarte y no darte una posible solucion de algo que no necesitas, disculpa si te molesta...

si quieres impedir el acceso de tu hija en tu pc personal sin que tu estés presente, utiliza una contraseña en el usuario, lo mismo en tu trabajo

ahora si quieres tener un informe detallado de todo lo que sucede en los pc en tu ausencia, estariamos hablando de instalar un posible keylogger o un programa que te guarde los sucesos ocurridos en el transcurso del dia
 

andylon

Nuevo Miembro
Miembro
#13
Slack no te preocupes, no hay problema.

El tema en concreto es si existe o no un archivo que registre los inicios de las sesiones, una especie de reporte que se pueda revisar con periodicidad.

Gracias
 

slack_

Nuevo Miembro
Miembro
#14
eh buscado y no encuentro nada para lo que quieres, quisas con un keylogger puedes solventar tu problema, pero te llevara a saber otras cosas que quisas no deberias, como contraseñas o cosas privadas de los usuarios del pc, es en este caso donde influye la ETICA

Saludos
 

romjavi

Miembro
Miembro
#15
Como decía elranix en el Registro de sucesos esta detallado, fechas, horas y sucesos. Entra en cada una de ellas y navega con las flechas y veras sucesos, como inicios en red, aciertos, errores, entrada en funcionamiento de perifericos, etc. Saludos.
 

andylon

Nuevo Miembro
Miembro
#16
Como decía elranix en el Registro de sucesos esta detallado, fechas, horas y sucesos. Entra en cada una de ellas y navega con las flechas y veras sucesos, como inicios en red, aciertos, errores, entrada en funcionamiento de perifericos, etc. Saludos.
He logrado navegar, pero me llama la atención por qué hay registros con fecha 2008?
 
Estado
Cerrado para nuevas respuestas
Arriba Pie