Сегодня я прибыл в офис клиента, и сервер Hyper V был отключен. В журнале событий Windows регистрируется, что пользователь-администратор отправил команду выключения. Я не единственный, у кого есть доступ к этому пользователю.
Как я могу узнать, с какого IP-адреса входил пользователь с правами администратора, когда была запрошена эта команда (какой идентификатор события мне нужно найти)?
Спасибо.
Если я правильно понял, ваш вопрос звучит так: "Как я могу найти IP, с которого было установлено RDP-соединение?".
Вы можете взглянуть на следующий журнал в программе просмотра событий: Application and Services Logs
-> Microsoft
-> Windows
-> Terminal Services-LocalSessionManager
-> Operational
, ID события 21 в этом журнале должен быть тем, что вы ищете.
Однако существует несколько способов выключения Windows... посмотрите на System
журнал событий, Event ID 1074 в источнике User32
, это должно дать вам больше деталей о том, кто/что инициировало выключение.
Еще одно событие, которое следует искать, - это событие с идентификатором 4624 с типом входа 10 (удаленный рабочий стол), дополнительную информацию см. По этой ссылке: https: //system32.eventsentry .com / security / event / 4624 .
Это может быть немного утомительно для поиска вручную, поэтому вам может потребоваться настроить XML-запрос для средства просмотра событий, если вы не используете решение для ведения журнала (что, вероятно, вам следует). Некоторые решения для мониторинга журналов анализируют события входа в систему и завершения работы и могут представлять их в виде простых в использовании отчетов. Вы также можете получать электронные письма, когда, например, критически важный сервер выключается или перезагружается.