NTLast
Конечно, хорошо бы знать, кто в настоящее время имеет доступ к системе, но если преступник в данный момент не активен, а вошел в систему ранее, эту информацию нельзя получить, используя только Loggedon. Чтобы получить такую информацию, мы можем использовать инструмент с NTLast, написанный Дж. Д. Глазером (J.D. Glaser) из компании Foundstone, Inc. Утилиту NTLast можно свободно загрузить с сайта www.foundstone.com.
Примечание. Этот инструмент контролирует события входа в систему и выхода из нее, и сообщает, когда они выполняются. Следовательно, эти события должны регистрироваться в журнале событий, и именно поэтому мы проверяли их в начале с помощью инструмента Auditpol.
