내 컴퓨터의 Windows 이벤트 로그 파일에 원격으로 액세스하는 사용자 및/또는 컴퓨터를 알아낼 수 있는 방법이 있습니까? 이러한 액세스는 로컬 컴퓨터의 응용 프로그램을 잠그고 삭제를 방지합니다.
이 액세스는 원격 시스템의 mmc.exe에서 로컬 시스템의 svchost.exe("eventlog" 서비스 실행)의 포트 5001에 대한 TCP 연결로 ProcessExplorer에 표시되지만 이것이 제가 확인할 수 있는 전부입니다.
이 답변을 찾기 위해 여기저기 검색했지만 PowerShell을 사용하여 WMI 개체를 파헤치는 것을 포함하여 특별한 용도로 사용되는 항목을 찾지 못했습니다. 당신이 제공할 수 있는 도움에 감사드립니다.
답변1
우선, 이벤트 로그에 원격으로 액세스하는 사람이 아닐 수도 있습니다. 이벤트로그 파일은 항상 열려 있습니다. 그들은메모리 매핑된 파일이므로 디스크에서 삭제할 수는 없습니다.
디스크 공간이 필요하면 열어야 합니다.eventvwr.msc거기에서 로그 파일의 최대 크기를 변경하십시오. 변경 사항은 다음에 이벤트 로그 서비스를 다시 시작할 때까지 적용되지 않습니다(아마도 컴퓨터를 재부팅할 때일 것입니다).
로그를 지우려면(예: 데이터 제거) 다음에서도 이 작업을 수행할 수 있습니다.이벤트mmc 스냅인.
삭제 가능한 파일에 이벤트 로그를 보관해야 하는 경우 다음을 사용할 수 있습니다.자동 백업로그 파일레지스트리 키가 있지만 메모리 매핑된 파일은 계속 남아 있습니다.
사용자 계정이 원격으로 컴퓨터의 이벤트 로그에 액세스하고 있고 여기에 보안 로그가 포함되어 있다고 의심되는 경우 보안 로그를 확인해야 합니다.ID가 4672인 이벤트을(를) 사용하여 로그인한 계정을 찾습니다.SeSecurityPrivilege활성화되었습니다.
보안 로그가 액세스 중인 로그가 아니라고 생각하는 경우에도 다음을 사용하여 보안 로그에서 이벤트를 찾을 수 있습니다.ID 4624, 누가 컴퓨터에 원격으로 액세스했는지 표시해야 합니다(단, 이벤트 로그에 액세스하는 사용자뿐만 아니라 모든 사용자도 포함됩니다). 이렇게 하면 최소한 용의자 목록이 좁아질 것입니다.
당신은 항상 사용할 수 있습니다wevtutil생각하는 로그에 감사 SACL을 추가하려면~이다액세스되고 있습니다. 프로세스는 허용 또는 거부와 반대로 감사해야 하는 항목을 지정한다는 점을 제외하면 권한 추가(DACL)와 거의 동일합니다.
약간 덜 우아하지만 원격 IP에서 연결이 확인되면 다음을 실행해 볼 수 있습니다.퀸스타 /서버:원격 IP. 그러면 콘솔에서 로컬로 또는 터미널 서비스를 통해 해당 컴퓨터에 로그온한 사람이 누구인지 표시됩니다. "사용자"가 서비스 계정이거나 예약된 작업인 경우에는 도움이 되지 않습니다.
답변2
네트워크 모니터를 사용하여 특정 포트에서 들어오는 트래픽을 스니핑하면 소스 IP가 명확하게 표시됩니다. 이를 수행하려면 다음을 수행하십시오.
- Microsoft에서 네트워크 모니터를 다운로드하여 원격 연결을 받는 PC에 설치합니다. 무료 도구입니다.
- 새로운 캡처를 생성하고 들어오는 TCP 연결을 포트 5001로 필터링합니다(구성이 매우 간단하고 UI가 친숙합니다).
- 캡처를 시작하고 패킷이 도착할 때까지 기다리면 목록의 소스 필드에 소스 IP가 표시됩니다. 패킷 내부의 냄새를 맡아 연결 시 인증에 대한 힌트가 표시되는지 확인할 수도 있습니다.