Есть ли способ выяснить, какой пользователь и/или какой компьютер удаленно обращается к файлам журнала событий Windows моего компьютера? Эти доступы блокируют приложения на локальном компьютере и тем самым предотвращают их удаление.
Этот доступ отображается в ProcessExplorer как TCP-соединение от mmc.exe на удаленной машине к порту 5001 svchost.exe (запускающего службу «eventlog») на локальной машине, но это все, что я могу определить.
Я искал этот ответ везде, но не нашел ничего особенно полезного, включая копание в объектах WMI с помощью PowerShell. Спасибо за любую помощь, которую вы можете предложить.
решение1
Во-первых, это может быть не тот, кто имеет удаленный доступ к вашим журналам событий. Файлы журнала событий всегда открыты. Онифайлы, отображенные в памяти, поэтому вы не можете просто удалить их с диска.
Если вам нужно дисковое пространство, вам нужно открытьeventvwr.mscи измените максимальный размер файла журнала там. Изменение не вступит в силу до следующего перезапуска службы журнала событий (который, вероятно, произойдет при перезагрузке машины).
Если вы хотите очистить журналы (т. е. удалить данные), вы также можете сделать это всобытиеvwrОснастка mmc.
Если вам необходимо хранить журналы событий в удаляемом файле, вы можете использоватьAutoBackupLogFilesраздел реестра, но файлы, отображенные в памяти, все еще останутся.
Если вы все еще подозреваете, что учетная запись пользователя удаленно обращается к журналу событий на вашем компьютере, и это включает журнал безопасности - вам следует проверить журнал безопасности на предметсобытия с идентификатором 4672, и найдите учетные записи, входящие в систему с помощьюБезопасностьПривилегиявключено.
Если вы не думаете, что журнал безопасности — это тот, к которому осуществляется доступ, вы все равно можете поискать события в журнале безопасности с помощьюИД 4624, который должен показать вам, кто имел удаленный доступ к компьютеру (но будет включать всех пользователей, а не только одного/одних, которые имеют доступ к журналам событий). Это должно по крайней мере сузить список подозреваемых.
Вы всегда можете использоватьwevtutilдобавить аудит SACL в журналы, которые, по вашему мнению,являютсяосуществляется доступ. Процесс во многом такой же, как и при добавлении разрешений (DACL), за исключением того, что вы указываете, какие вещи должны быть проверены, а не разрешены или запрещены.
Немного менее элегантно, но когда вы замечаете соединение с удаленного IP, вы можете попробовать запуститьqwinsta /сервер:удаленныйIP. Это покажет вам, кто вошел в систему на этом компьютере, либо локально на консоли, либо через службы терминала. Это не поможет, если "пользователь" является учетной записью службы или запланированной задачей.
решение2
Вы можете использовать Network Monitor для прослушивания входящего трафика на этом конкретном порту, и исходный IP будет четко отображен. Для того чтобы сделать это:
- Загрузите и установите Network Monitor от Microsoft на ПК, который получает удаленные соединения. Это бесплатный инструмент.
- Создайте новый захват и отфильтруйте входящие TCP-подключения на порт 5001 (настроить довольно просто, пользовательский интерфейс удобный).
- Запустите захват и дождитесь прибытия пакетов, вы увидите исходный IP в поле Source списка. Вы даже можете заглянуть внутрь пакетов и проверить, отображается ли подсказка об аутентификации при подключении.