Heute kam ich im Büro eines Kunden an und der Hyper-V-Server war ausgeschaltet. Im Windows-Ereignisprotokoll ist vermerkt, dass der Administratorbenutzer einen Shutdown-Befehl gesendet hat. Ich bin nicht der einzige, der Zugriff auf diesen Benutzer hat.
Wie kann ich herausfinden, von welcher IP-Adresse aus der Administratorbenutzer angemeldet war, als dieser Befehl angefordert wurde (welche Ereignis-ID muss ich nachschlagen)?
Danke.
Antwort1
Wenn ich Ihre Frage richtig verstehe, lautet sie: „Wie kann ich die IP finden, von der aus eine RDP-Verbindung hergestellt wurde?“.
Sie können sich das folgende Protokoll in der Ereignisanzeige ansehen: Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational, Ereignis-ID21in diesem Protokoll sollte sein, was Sie suchen.
Es gibt jedoch mehrere Möglichkeiten, Windows herunterzufahren... werfen Sie einen Blick auf Systemdas Ereignisprotokoll, Ereignis-ID1074in der User32Quelle sollten Sie weitere Einzelheiten darüber erfahren, wer/was die Abschaltung veranlasst hat.
Antwort2
Ein weiteres zu suchendes Ereignis ist die Ereignis-ID 4624 mit einem Anmeldetyp von 10 (Remotedesktop). Weitere Informationen finden Sie unter diesem Link:https://system32.eventsentry.com/security/event/4624.
Das manuelle Suchen kann etwas mühsam sein, daher müssen Sie möglicherweise eine XML-Abfrage für die Ereignisanzeige einrichten, wenn Sie keine Protokollierungslösung verwenden (was Sie wahrscheinlich tun sollten). Einige Protokollüberwachungslösungen analysieren Anmelde- und Herunterfahrereignisse und können sie in benutzerfreundlichen Berichten darstellen. Sie können auch E-Mails erhalten, wenn beispielsweise ein kritischer Server heruntergefahren oder neu gestartet wird.