今日、クライアントのオフィスに到着すると、Hyper V サーバーがオフになっていました。Windows イベント ログには、管理者ユーザーがシャットダウン コマンドを送信したことが記録されています。このユーザーにアクセスできるのは私だけではありません。
このコマンドが要求されたときに管理者ユーザーがどの IP からログインしていたかを調べるにはどうすればよいですか (どのイベント ID を検索する必要がありますか)?
ありがとう。
答え1
私が正しく理解していれば、あなたの質問は「RDP 接続が確立された IP を見つけるにはどうすればよいですか?」ということです。
イベントビューアで次のログを確認できます: Application and Services Logs-> Microsoft-> - Windows> - Terminal Services-LocalSessionManager> Operational、イベントID21このログにあなたが探しているものが含まれているはずです。
ただし、Windowsをシャットダウンする方法は複数あります。Systemイベントログ、イベントIDを確認してください。1074ソースではUser32、シャットダウンを開始した人物/原因についてより詳しい情報が得られるはずです。
答え2
注目すべきもう 1 つのイベントは、ログオン タイプが 10 (リモート デスクトップ) のイベント ID 4624 です。詳細については、次のリンクを参照してください。https://system32.eventsentry.com/security/event/4624。
これを手動で見つけるのは少し面倒な場合があります。そのため、ログ ソリューションを使用していない場合 (おそらく使用すべきです)、イベント ビューアーの XML クエリを設定する必要があります。一部のログ監視ソリューションは、ログオン イベントとシャットダウン イベントを解析し、使いやすいレポートで表示できます。また、たとえば重要なサーバーがシャットダウンまたは再起動されるたびに電子メールを受け取ることもできます。