Hoje cheguei no escritório de um cliente e o servidor Hyper V estava desligado. No log de eventos do Windows está registrado que o usuário administrador enviou um comando de desligamento. Não sou o único que tem acesso a este usuário.
Como posso descobrir em qual IP o usuário administrador estava logado quando este comando foi solicitado (Qual ID de evento preciso pesquisar)?
Obrigado.
Responder1
Se bem entendi, sua pergunta é "Como posso encontrar o IP a partir do qual foi estabelecida uma conexão RDP?".
Você pode dar uma olhada no seguinte log, no visualizador de eventos: Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational, ID do evento21neste log deve ser o que você está procurando.
No entanto, existem várias maneiras de desligar o Windows... dê uma olhada no Systemlog de eventos, ID do evento1074na User32fonte, deve fornecer mais detalhes sobre quem/o que iniciou o desligamento.
Responder2
Outro evento a ser procurado é o ID de evento 4624 com um tipo de logon 10 (área de trabalho remota). Consulte este link para obter mais informações:https://system32.eventsentry.com/security/event/4624.
Isso pode ser um pouco tedioso de encontrar manualmente, então você pode precisar configurar uma consulta XML para o visualizador de eventos se não estiver usando uma solução de registro (o que provavelmente deveria). Algumas soluções de monitoramento de log analisarão eventos de logon e desligamento e poderão apresentá-los em relatórios fáceis de usar. Você também pode receber e-mails sempre que um servidor crítico for desligado ou reiniciado, por exemplo.