コントロール パネルで Shutdown - m \pc name コマンドを実行すると、シャットダウンした Windows PC にイベント ログが作成されます。イベント ログに、コマンドをリモートで実行したユーザーを表示する方法はありますか?
答え1
wevtutil cl特定のイベント ログをクリアできます。リモート システムで使用するには、PsExec のようなものを使用する必要があります。また、コマンドがshutdown発行されてからシステムが実際にシャットダウンするまでの短い時間枠内にログをクリアする必要があります。
ただし、イベント ログをクリアする操作によって、システム ログに新しいイベントが生成されます。そのイベントには、どのログがクリアされたか、誰がクリアしたかが記録されます。もちろん、ユーザーはSYSTEMPsExec を使用しているかのように表示される可能性がありますが、このイベントは、見ている人なら誰でも間違いなく驚くでしょう。このイベントが複数回発生すると、ターゲット マシンの所有者が何らかの監査を設定して、あなたを捕まえるでしょう。
特に、このプロセスで重要なログも消去されることを考えると、これを行う正当な理由は考えられません。後悔するようなことはしないでください。