Existe uma maneira de descobrir qual usuário e/ou qual computador está acessando remotamente os arquivos de log de eventos do Windows do meu computador? Esses acessos estão bloqueando aplicativos no computador local e impedindo assim sua exclusão.
Este acesso está aparecendo no ProcessExplorer como uma conexão TCP do mmc.exe na máquina remota para a porta 5001 do svchost.exe (executando o serviço "eventlog") na máquina local, mas isso é tudo que posso determinar.
Procurei por toda essa resposta, mas não encontrei nada de uso específico, incluindo pesquisar objetos WMI usando o PowerShell. Obrigado por qualquer ajuda que você possa oferecer.
Responder1
Primeiro de tudo - pode não ser ninguém acessando seus logs de eventos remotamente. Os arquivos do log de eventos estão sempre abertos. Eles sãoarquivos mapeados em memória, então você não pode simplesmente excluí-los do disco.
Se precisar de espaço em disco, você precisa abrireventovwr.msce altere o tamanho máximo do arquivo de log. A alteração não terá efeito até a próxima reinicialização do serviço de log de eventos (que provavelmente ocorrerá quando você reinicializar a máquina).
Se quiser limpar os logs (ou seja, remover os dados), você também pode fazer isso noeventovwrsnap-in mmc.
Se você precisar manter os logs de eventos em um arquivo que pode ser excluído, você pode usar oAutoBackupLogFileschave de registro, mas os arquivos mapeados na memória ainda permanecerão.
Se você ainda suspeitar que uma conta de usuário está acessando remotamente o log de eventos no seu computador, e isso inclui o log de segurança - você deve verificar o log de segurança paraeventos com ID 4672e procure contas fazendo login comSeSecurityPrivilegehabilitado.
Se você acha que o log de segurança não é o que está sendo acessado, você ainda pode procurar eventos no log de segurança comID 4624, que deve mostrar quem acessou o computador remotamente (mas incluirá todos os usuários, não apenas aqueles que acessam os logs de eventos). Isto deve pelo menos restringir a sua lista de suspeitos.
Você sempre pode usarwevtutilpara adicionar uma SACL de auditoria aos logs que você achasãosendo acessado. O processo é praticamente o mesmo para adicionar permissões (DACL), exceto que você está dizendo quais itens devem ser auditados, em vez de permitidos ou negados.
Um pouco menos elegante, mas quando você notar uma conexão do IP remoto, você pode tentar executarqwinsta /servidor:IP remoto. Isso mostrará quem está conectado naquele computador, localmente no console ou por meio de serviços de terminal. Não ajudará se o “usuário” for uma conta de serviço ou uma tarefa agendada.
Responder2
Você pode usar o Network Monitor para detectar o tráfego de entrada nessa porta específica e o IP de origem será exibido claramente. Para fazer isso:
- Baixe e instale o Network Monitor da Microsoft no PC que está obtendo as conexões remotas. É uma ferramenta gratuita.
- Crie uma nova captura e filtre as conexões TCP de entrada para a porta 5001 (é bastante simples de configurar, a interface do usuário é amigável).
- Inicie a captura e espere até que os pacotes cheguem, você verá o IP de origem no campo Fonte da lista. Você pode até farejar os pacotes e verificar se uma dica sobre autenticação é exibida na conexão.