Hoy llegué a la oficina de un cliente y el servidor Hyper V estaba apagado. En el registro de eventos de Windows se registra que el usuario administrador envió un comando de apagado. No soy el único que tiene acceso a este usuario.
¿Cómo puedo saber desde qué IP inició sesión el usuario administrador cuando se solicitó este comando (qué ID de evento debo buscar)?
Gracias.
Respuesta1
Si entendí correctamente, su pregunta es "¿Cómo puedo encontrar la IP desde la que se estableció una conexión RDP?".
Puede echar un vistazo al siguiente registro, en el visor de eventos: Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational, ID de evento21En este registro debe estar lo que estás buscando.
Sin embargo, hay varias formas de apagar Windows... eche un vistazo al Systemregistro de eventos, ID de evento1074en la User32fuente, debería brindarle más detalles sobre quién/qué inició el cierre.
Respuesta2
Otro evento a buscar es el ID de evento 4624 con un tipo de inicio de sesión de 10 (escritorio remoto); consulte este enlace para obtener más información:https://system32.eventsentry.com/security/event/4624.
Esto puede ser un poco tedioso de encontrar manualmente, por lo que es posible que necesites configurar una consulta XML para el visor de eventos si no estás utilizando una solución de registro (lo cual probablemente deberías hacer). Algunas soluciones de monitoreo de registros analizarán los eventos de inicio de sesión y cierre y podrán presentarlos en informes fáciles de usar. También puede recibir correos electrónicos cada vez que se apaga o reinicia un servidor crítico, por ejemplo.