Сегодня я приехал в офис клиента, а сервер Hyper V был выключен. В журнале событий Windows есть запись о том, что администратор отправил команду выключения. Я не единственный, кто имеет доступ к этому пользователю.
Как узнать, с какого IP-адреса вошел администратор, когда была запрошена эта команда (какой идентификатор события мне нужно найти)?
Спасибо.
решение1
Если я правильно понял, ваш вопрос: «Как узнать IP-адрес, с которого было установлено RDP-подключение?».
Вы можете просмотреть следующий журнал в средстве просмотра событий: Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational, идентификатор события21в этом журнале должно быть то, что вы ищете.
Однако есть несколько способов завершения работы Windows... взгляните на Systemжурнал событий, идентификатор события1074в User32источнике вы должны получить более подробную информацию о том, кто/что инициировало отключение.
решение2
Еще одно событие, на которое следует обратить внимание, — это событие с идентификатором 4624 и типом входа 10 (удаленный рабочий стол). Для получения дополнительной информации см. эту ссылку:https://system32.eventsentry.com/security/event/4624.
Это может быть немного утомительно находить вручную, поэтому вам может потребоваться настроить XML-запрос для средства просмотра событий, если вы не используете решение для ведения журналов (которое, вероятно, вам следует). Некоторые решения для мониторинга журналов анализируют события входа и выключения и могут представлять их в простых в использовании отчетах. Вы также можете получать электронные письма всякий раз, когда критический сервер выключается или перезагружается, например.