오늘 클라이언트 사무실에 도착했는데 Hyper V 서버가 꺼져 있었습니다. Windows 이벤트 로그에는 관리자가 종료 명령을 보냈다는 내용이 등록되어 있습니다. 이 사용자에게 접근할 수 있는 사람은 나뿐만이 아닙니다.
이 명령이 요청되었을 때 관리자가 로그인한 IP를 어떻게 알 수 있습니까(조회해야 하는 이벤트 ID는 무엇입니까)?
감사해요.
답변1
제가 올바르게 이해했다면 귀하의 질문은 "RDP 연결이 설정된 IP를 어떻게 찾을 수 있습니까?"입니다.
이벤트 뷰어에서 다음 로그를 확인할 수 있습니다. Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational, 이벤트 ID21이 로그에는 당신이 찾고 있는 내용이 있어야 합니다.
System그러나 Windows를 종료하는 방법은 여러 가지가 있습니다. 이벤트 로그, 이벤트 ID를 살펴보세요.1074소스 에서 User32누가/무엇으로 종료를 시작했는지에 대한 자세한 정보를 제공해야 합니다.
답변2
찾아야 할 또 다른 이벤트는 로그온 유형이 10(원격 데스크톱)인 이벤트 ID 4624입니다. 자세한 내용은 다음 링크를 참조하세요.https://system32.eventsentry.com/security/event/4624.
수동으로 찾는 것이 다소 지루할 수 있으므로 로깅 솔루션을 사용하지 않는 경우(아마도 사용해야 함) 이벤트 뷰어에 대한 XML 쿼리를 설정해야 할 수 있습니다. 일부 로그 모니터링 솔루션은 로그온 및 종료 이벤트를 구문 분석하고 이를 사용하기 쉬운 보고서로 표시할 수 있습니다. 예를 들어 중요한 서버가 종료되거나 재부팅될 때마다 이메일을 받을 수도 있습니다.