有沒有辦法找出哪個使用者和/或哪台電腦正在遠端存取我的電腦的 Windows 事件日誌檔案?這些存取會鎖定本機電腦上的應用程序,從而防止刪除它們。
此存取在 ProcessExplorer 中顯示為從遠端電腦上的 mmc.exe 到本機上的 svchost.exe(執行「eventlog」服務)的連接埠 5001 的 TCP 連接,但這就是我所能確定的全部。
我已經徹底搜尋了這個答案,但沒有找到任何特別有用的東西,包括使用 PowerShell 挖掘 WMI 物件。謝謝你盡你所能的幫助。
答案1
首先 - 可能沒有任何人遠端存取您的事件日誌。事件日誌檔案始終打開。他們是記憶體映射文件,因此您不能直接從磁碟中刪除它們。
如果需要磁碟空間,需要打開事件vwr.msc並更改日誌檔案的最大大小。直到下次重新啟動事件日誌服務(可能是在您重新啟動電腦時),變更才會生效。
如果您想清除日誌(即刪除資料),您也可以在事件VWRmmc 管理單元。
如果您需要將事件日誌保存在可刪除的檔案中,您可以使用自動備份日誌文件註冊表項,但記憶體映射檔案仍將保留。
如果您仍然懷疑使用者帳戶正在遠端存取您電腦上的事件日誌,並且這包括安全日誌 - 您應該檢查安全日誌ID 為 4672 的事件,並尋找登入帳戶安全權限已啟用。
如果您認為安全日誌不是正在存取的日誌,您仍然可以使用以下命令在安全性日誌中尋找事件編號 4624,它應該顯示誰一直在遠端存取電腦(但將包括所有用戶,而不僅僅是訪問事件日誌的用戶)。這至少應該縮小你的嫌疑犯名單。
你總是可以使用韋夫圖爾將審計 SACL 加入您認為的日誌中是正在被訪問。這個過程與新增權限 (DACL) 非常相似,只不過您是說應該審核哪些內容,而不是允許或拒絕。
稍微不太優雅,但是當您注意到來自遠端 IP 的連線時,您可以嘗試執行qwinsta /伺服器:遠端IP。這將顯示誰在該電腦上登錄,無論是在控制臺本地還是透過終端機服務。如果「使用者」是服務帳戶或計畫任務,則沒有協助。
答案2
您可以使用網路監視器來嗅探該特定連接埠上的傳入流量,來源 IP 將會清晰顯示。為此:
- 從 Microsoft 下載網路監視器並將其安裝到取得遠端連線的 PC 中。這是一個免費工具。
- 建立一個新的捕獲,並過濾傳入連接埠 5001 的 tcp 連接(配置非常簡單,UI 友好)。
- 開始擷取並等待封包到達,您將在清單的「來源」欄位中看到來源 IP。您甚至可以嗅探資料包內部並檢查連線時是否顯示有關身份驗證的提示。